「動けばよい」から「安全に作る」へ ─ 情報処理安全確保支援士を受験して変わったこと

はじめに

インターネット通信事業者のセキュリティサービス開発案件に参画したことをきっかけに、セキュリティ分野への興味を持つようになりました。

これまでは主にWebアプリケーション開発を中心に経験を積んできましたが、開発だけでなく「安全にサービスを提供する」という観点の重要性を強く意識するようになりました。

本記事では、情報処理安全確保支援士試験を受験したきっかけや、学習を通じて感じたことについて書いていきます。

セキュリティに興味を持ったきっかけ

セキュリティサービス開発案件へ参画した際、現場ではプロパー社員の方や協力会社のメンバーが情報処理安全確保支援士を取得していることも多く、資格を通じて知識を体系的に身につけていることに刺激を受けました。

セキュリティ観点の話題が日常的に出ており、「開発者であってもセキュリティ知識は必要になる」と感じる場面が増えていきました。

なぜ情報処理安全確保支援士を受験したのか

一方で、自分自身は基本情報技術者試験や応用情報技術者試験、高度区分資格を取得していませんでした。

業界経験も7年目に差しかかり、「そろそろIPA資格を何か一つは取得しなければ」という気持ちは以前からありましたが、なかなか行動に移せずにいました。

そうした環境や焦りも後押しとなり、本格的に受験を決意しました。

合格までの流れ

1回目の受験では、午前Ⅰ・Ⅱ試験は基準点へ到達できたものの、午後試験で基準点に届かず不合格となりました。

特に午後試験では、単純な知識問題だけではなく、

• 長文読解
• 状況整理
• セキュリティ観点での判断

が求められ、想像以上に難しく感じました。

その後、苦手分野を整理し直し、半年後の2回目の受験で無事合格することができました。

試験勉強で得たこと

情報処理安全確保支援士試験の勉強を通じて、現時点では実務に直結する高度なセキュリティ業務を担当しているわけではないため、「試験で学んだ内容をそのまま現場で活用している」という段階ではありません。

一方で、学習を通じてセキュリティへの興味関心は大きく高まりました。

以前は「動けばよい」「実装できればよい」という視点で考えていた部分についても、

• その実装は本当に安全か
• 想定外の入力に耐えられるか
• 権限チェックは適切か

など、一歩立ち止まって考える意識が付いたことは大きな変化だと思います。

開発現場で変わった意識

特にWebアプリケーション開発では、

• 入力値検証
• 認証・認可
• 権限チェック
• ファイルアップロード
• エラーメッセージの扱い

など、普段の実装の中にも多くのセキュリティ観点が存在していることを改めて認識しました。

また、フロントエンド・バックエンド・インフラのどこか一箇所だけではなく、システム全体を通して安全性を考える必要があることも強く感じました。

フルスタックで開発を行ううえでも、セキュリティ知識は非常に相性が良いと感じています。

より実践的な学習へ

また、合格後にはさらに実践的なセキュリティ知識を身につけたいと考え、Webアプリケーションの脆弱性診断や攻撃手法、防御方法などを学べる専門実践教育訓練のホワイトハッカー育成講座にも通うことを決めました。

学習では、実際にセキュリティ診断やペネトレーションテストで利用されるツールも使用しており、「どのように攻撃されるのか」を理解したうえで、より安全な設計・実装へ繋げたいと考えています。

今後について

資格取得そのものがゴールではなく、今後長くエンジニアとしてキャリアを積んでいく中で、セキュリティという観点を持ちながら開発できることは、大きな強みになると感じています。

今回の学習と資格取得によって、これからのエンジニア人生を支える土台の一つが増えたと感じています。