2005年11月30日

テクニカルエンジニア(情報セキュリティ)試験のテキスト選びについて

システムアナリスト試験が済んで、約一カ月半、テクニカルエンジニア(情報セキュリティ)試験対策ということで、割と手広く勉強している。方向としては、ほぼ、以下のような感じだ。

1.全体的な把握
2.ネットワークの基礎(TCP/IPなど)
3.プログラム言語の基礎の基礎

テキストには、概ね三つのタイプがあると思う。

ひとつ目は、問題集といった方が良いかもしれないが、主に弱点の発見と本試験の解答技術を身につけるためのもの。これは、本試験を想定した問題を解くことに主眼を置いたものだ。今回のテクニカルエンジニア(情報セキュリティ)試験は新設であるから、もちろん過去問がない。サンプル問題のほかには、よく似た関連科目の過去問で対応することになるだろう。問題集もそのうち出るとは思うが。

ふたつ目は、知識とスキルの整理を中心とした、体系的な編集のもの。全体的な難易度は、初学者にはやや難しく、既に仕事や過去の経験の中で、ある程度の知識とスキルがある者が使うのに便利なものだ。また、弱点の発見と対策にも使える。ざっと読んでみて、ほぼ理解できるようであればふさわしいといえる。ただし、テクニカルエンジニア(情報セキュリティ)対策として、まだ最適の(午後対策の)テキストは、まだ出てないようだ。

みっつ目は、残念ながら一冊のテキストでは間に合わないのだが、いわゆる入門書。今の知識・スキルのレベルでは、まだまだ本試験には足りない場合、これが必要になる。このテキストは、はじめがやさしく、徐々に用語や基本的な知識を習得し、後半は応用力を身につけるところまであるものもある。また、基本で終わるものもある。これを済ませて、上のテキストにあたることになるわけである。読みやすいものを選ぶ、というのがポイントだろう。


試験は本来、現在の知識・スキルレベルの検定が目的なのだろうから、入門書から勉強するというのは少し違うような気もする。あえて言うのなら、自分自身のレベルアップが目的で、その確認のために試験を活用するということなのだろう。試験でなくとも、目標があれば、努力を続けやすいのだ。
posted by tamaso at 00:12| Comment(2) | TrackBack(0) | 受験技術 | このブログの読者になる | 更新情報をチェックする

2005年11月29日

セキュアプログラミング対策で、Javaの勉強を続ける

テクニカルエンジニア(情報セキュリティ)試験対策で、引き続きJavaの勉強をしている。寝不足でかなりつらいのだが、なんとか「クラス」とか「メソッド」とか、そういう言葉の意味がつかめてきた、という程度。

Javaについていえば、構造化が可能な言語で、うまくプログラミングすると「カプセル」に必要な機能を収めることができる。より安全なプログラミングが可能、ということらしい。

そもそも、セキュアなプログラミングを阻害する要素とは、クラスに対してネットワークとか、システムのコアな部分へのアクセスがさまざまな形で許可されてしまっているからだ。システムの安全性、ネットワークへのアクセス権などは、プログラミングの際、特別な注意が必要で、ある程度以上の経験と能力が必要だということだ。

ある意味、これは「入室許可」のようなものかもしれない。もう少し、入門書で基礎を固めて、そろそろ「セキュアプログラミング講座」に戻るつもりだ。

情報セキュリティアドミニストレータ試験では経験しなかった回り道だが、まあ「急がば回れ」ということもある。
posted by tamaso at 01:31| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2005年11月27日

情報セキュリティに進む前に、引き続きJavaの基本

昨日に続いて、テクニカルエンジニア(情報セキュリティ)試験対策は、Javaのプログラミングの基本をやる。情報セキュリティアドミニストレーターでは、基本情報処理のようなプログラミングについての問題は出題されない。それに、基本情報処理ではアセンブラを選択したため、Javaはほぼ初めての経験になる。

プログラミングは、入門書を使っているのだが、読むだけでは足りないかもしれない。プログラミングは、いわゆる「知識」ではなく「技能」に分類される。スキルというやつだ。スキルは、スポーツや外国語と同様、読んで憶えるのではなく、体で憶えることになる。幸い、Javaのプログラム開発環境は、入門者なら手軽にコンパイラを入手できる。テキストの内容を打ち込み、実行させることぐらいなら、そう難しいことではないようだ。

割と、手続きには「様式的」というか、定型の形があるようで、一定のレベルならすぐに身につきそうだ。もともと、言語というものは「クセ」のようなものはあっても、わざと難しく作っているわけではないはずだ。まあ、それぐらいの気持ちで取り組んでみたい。なんとか一週間ぐらいで、基本は仕上げたい。
posted by tamaso at 22:53| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

セキュアプログラミングなので、Javaの入門書からはじめる

テクニカルエンジニア(情報セキュリティ)試験には、セキュアプログラミングが出題の範囲に含まれる。従来の、情報セキュリティアドミニストレーター試験の深堀りだけでは間に合わない部分がある、ということだ。

とはいうものの、基本がおぼつかないので、Java、Perl、C++は、一応基本も押さえる。そののち、「セキュアプログラミング講座」を、きっちりやる。という手順。少々時間がかかりそうだが、言語としてある程度知っていてもいいと思う。

目標は、さしあたり「〜講座」の用語ぐらいは分かるようにすること。あまり突っ込まないことにする。プログラマを目指すわけではないので。
posted by tamaso at 01:27| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2005年11月24日

テクニカルエンジニア(情報セキュリティ)試験は、Javaも出る

今日は、東京への出張があり、1時間だけ。セキュアプログラミング講座の第3章、Javaについて。さすがにこのあたりは、情報セキュリティアドミニストレーターでは対象外。つまり、新規にインプットしないといけない科目、ということになる。

3-1. 危険なクラスたち
3-2. カプセル化のすすめ

と、ここまで読むには読んだが、雰囲気だけ、という感じ。もうちょっとしっかりマスターするには、基本的な部分を押さえないといけないようだ。もちろん、プログラマを目指すわけではないので、要するに「言葉の理解度」を高める、ということでいいと思う。

まあ、とりあえず、開発環境をセキュアな状態に整備する、ということを言っているようだ。このあたりは、出題範囲とかスキル標準でも同様の表現が見られる。おそらく、出題も環境整備に関連して出されるか、あるいは、環境の不備な部分を指摘する、といった感じになるように思う。
posted by tamaso at 23:26| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2005年11月23日

セキュアプログラミング講座で、試験対策する

テクニカルエンジニア(情報セキュリティ)試験は、情報セキュリティアドミニストレーター試験にはない、「セキュアプログラミング」から出題される予定だ。現在のところ、てごろなテキストが少ないのだが、以下は、IPAが準備したテキストのようなものだ。

http://www.ipa.go.jp/security/awareness/vendor/programming/a02.html

今回は、データベースをテーマにした部分を読む。インターネット経由で、データベースにある情報を提供するサービスというのは、よくある話だが、プログラミングを誤ると、悪意ある第三者にデータベースを自由に操作されてしまう。不要なデータが書き込まれたり、データが改竄、消去されたり、場合によっては、完全な管理者権限を乗っ取られてしまうこともありうる。

商品の情報ぐらいならまだしも、個人情報や機密情報をそっくり盗まれてしまうこともあるわけで、不注意なプログラミングは責任重大である。試験対策ではなく、上のテキストがなぜ用意されているのか、よく分かる。
posted by tamaso at 23:06| Comment(2) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

テクニカルエンジニア(情報セキュリティ)サンプル問題で、クッキーの勉強もする

テクニカルエンジニア(情報セキュリティ)試験、サンプル問題を続ける。「会員認証の検討」の後半は、クッキーについての説明が書かれている。クッキーについては、基本的な技術だし、日常のインターネットのアクセスでしょっちゅう使われる。できれば、情報セキュリティアドミニストレータを目指す人も、テキストに一度はあたった方が良いと思う。

そもそも、HTTPのパケットの交換は、1回ずつが使い捨てのように、先のやり取りの情報を引き継いでいくということがない。しかし、現実にはネットショップで買い物をしたりする場合は、買った情報を引き続き保持しながら、Webを行ったり来たりする。そこで使われるのが、クッキーということらしい。

ID・パスワードで認証を受けたクライアントに、サーバから認証した内容をクッキーとして送信する。次回のアクセス(直後もある)の際に、クッキーとともにサーバにリクエストすると、サーバは、以前にアクセスがあったクライアントとして認識するわけである。

サンプル問題では、2つのドメインというか、サーバを使うことになっていて、一方はネット販売のための受注Web、もう一方はカタログとして使う掲載Webだ。カタログには、会員の要望に応じてカスタマイズする機能(パーソナライズ機能)があるので、これもクッキーを使って特定の会員であることをサーバに伝える必要がある。

問題文では、決済という金銭のからむ受注Webがあり、ID・パスワードが盗聴されると、なりすましによって商品が騙し取られる恐れがある。カタログを見せるだけなら、被害らしいものもないのだが、カタログと買い物のサイトを行き来する場合、クッキーが盗聴されないよう、どちらのサイトにも暗号化が必要になるというわけである。暗号化は、問題文に書かれてあるように、SSLを使う。


posted by tamaso at 00:16| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2005年11月22日

テクニカルエンジニア(情報セキュリティ)サンプル問題で、SSLを憶える

どういう問題が出題されるのか、まだ不明なテクニカルエンジニア(情報セキュリティ)試験であるが、午後問題には、サンプル問題が公開されている。順次、解いてきているのだが、今回は、「会員認証の検討」の部分。

手元の入門書が暗号化に関連したものであったため、前半のSSLの部分しか明確にはならなかった。後半はクッキーについてだが、ここも、改めてマスターしたい。

さて、SSLについてだが、一言で表せば「ブラウザとWebサーバ間のパケットの暗号化」ということになるだろう。実際には、HTTP以外にも、SMTPやFTPなどでも利用されるらしい。ただ、いつも目に触れるのは、ほとんどHTTP、つまりブラウザとWebサーバ間ということになる。

このしくみ、よく調べてみると、結構複雑なことをしている。前半、公開鍵方式で共通鍵の交換をする。それからデータのやり取りを高速な共通鍵で行うというものだ。共通鍵は、そのときにのみ使われるものだから、安全性は比較的高い。

問題文にある「サーバ認証」は、この相手側であるサーバが「本物かどうか」を確かめる仕組みである。提示された「公開鍵」を「認証局」が正規のものとして認証することで、会員は安心して情報をサーバに送ることができるわけである。そうでなくては、ECで使われる個人情報を、偽のサイトに渡す、いわゆる「フィッシング」に遭うことになる。

また、ベーシック認証という言葉も出てくるが、これはID・パスワードのセットで、本人を認証する仕組みである。大きな取引となる企業間では、クライアントも同様に認証局による認証まで行うが、この例では、そこまではしていない。ただし、ID・パスワードは盗聴のリスクを伴うため、SSLによる暗号化を行っている。

ちなみに、このSSLだが、無線LANによる社員のリモートアクセスの際にも使われることになっている。WEPの安全性に問題があるため、ここでも使われているわけである。

この技術は、試験だけでなく、日常的にもよく見るものなので、その意味が理解できることで、ページ設計意図も分かってくる。このあたり、勉強のもうひとつの楽しみともいえる。ちなみに、このあたりは情報セキュリティアドミニストレーター試験でも知っておくべき内容だろう。ただし、サーバとの詳しいパケット交換のフローまでは不要だが。
posted by tamaso at 01:21| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2005年11月20日

セキュアプログラミング「Web技術」を読み終える

テクニカルエンジニア(情報セキュリティ)の午後の試験対策として、セキュアプログラミングのテキスト、といってもネットから入手したものだが、を読んでいる。さすがに、このあたりの内容になると、情報セキュリティアドミニストレーター試験とは異なってくる。

セキュアWebプログラミング、に分類された章は、全部で6節に分かれている。

1. クライアント側の入力チェックは安全でない
2. クロスサイトスクリプティング
3. Webページとユーザ認証
4. クエリストリングから情報が漏れる
5. hiddenは危険(セッション変数を利用しよう)
6. Webフォームの選択項目が危ない

とある。いずれも実践的な内容で、教科書のようなまとめ方にはなっていない。試験の出題用素材としては、むしろ使いやすいかも知れない。サンプルとして挙げられた例は、結構よくあるパターンで、読みながら気になった、運営中のページもあるぐらいだ。それぐらい、Webには弱点が多い。しかも、運営者は気づいていない。

IPAが、なぜ試験の内容にこれを加え、更に言語について補足までしたか。セキュリティはネット技術だけでは済まなくなってきているようだ。
posted by tamaso at 21:13| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2005年11月19日

ウィルス対策は、情報セキュリティの基本

テクニカルエンジニア(情報セキュリティ)試験の受験対策は、今日もネットワークの入門書で。とはいえ、情報セキュリティアドミニストレータ試験にも使えるかもしれない。

さて、今日の内容は、ウィルスについて。対策の基本は「ワクチン」ではあるが、最近のウィルスの手口から言えば、OSやアプリケーションのセキュリティ・ホールをふさぐことも必要だし、パケットの監視も必要だ。また、ウィルス発生後は、ログの分析から侵入経路を調べることもできる。

また、ウィルスは、単にクライアントのシステムを荒らすだけではない。サーバーに侵入したウィルスが、ファイアウォールにバックドアを開けたりして、乗っ取りの助成もする。大量のメールやリクエストを他の特定のサーバに投げて、システムを停止させることもする。クライアントのメールソフトを使って、ファイルやアドレス情報を無作為に送信する、といったこともする。

不正侵入は特定のターゲットに対する行為であるが、ウィルスは無差別に攻撃する。それだけに影響が計り知れない。
posted by tamaso at 22:10| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

効率的な学習方法?

今日は、時間がとれず、テクニカルエンジニア(情報セキュリティ)は、一旦休憩。

いま参加しているネットのグループのメンバーから、他の試験だが、効率的な勉強方法などういうものか、という質問があった。もともと、今の知識・スキルが高ければ、勉強は少なくても試験には間に合うが、そうでない場合はどうか。

実は、他人を使うという手がある。知識ならインプット(学習)、スキルならアウトプット(練習)、それ以外のことは、他人に手伝ってもらうというもの。つまり、テキストを自分で読むのではなく講習を受ける、とか、分からないことは調べるのではなく教えてもらう、とかである。テキスト選びの時にも少し触れたが、勉強を始めた頃は、テキスト選びすら実は難しい課題になる。経験者やある程度のレベルにある人なら、テキストの良し悪しが分かる。さらに、どこが憶えるべきポイントかも知っている。

憶える、とか、慣れる、とかは自分自身がやらないことには身につかないが、それ以外は手伝ってもらえる。ただし、時間は高額である。それなりの出費を覚悟するか、親切な知人に期待するしかない。
posted by tamaso at 01:45| Comment(0) | TrackBack(0) | 雑感 | このブログの読者になる | 更新情報をチェックする

2005年11月17日

企業のネットワークセキュリティのまとめ

テクニカルエンジニア(情報セキュリティ)試験の対策として、社内LANのセキュリティ維持の方法を引き続き読んでいる。
今週は、会社の仕事や講習会など、退社後にまとまった時間がとりにくい。こういうときは、少しずつの時間を活かしてテキストを読むのもいいだろう。ノートにまとめたりはできないので、全体をつかむように読んでいく。細かなところは、場合によっては問題集でチェックするという手もある。

さて、社内LANのセキュリティであるが、先に「セグメント」に少し触れた。ここは一部である。テキスト(といっても入門書「すっきりわかった〜」であるが)では、まず大きく二つに分けている。

・アクセス制御
・セキュリティ維持

である。アクセス制御は、要するに不正なコードやセキュリティに問題のあるパソコンを、社内LANに入れないということである。考え方としては、クリーン度のようなものかもしれない。社内LAN、特に、重要な情報のあるエリアは、厳格にクリーン度を高めた状態にしておかねばならない。そこで、そのエリア(セグメント)につなぐPC、あるいは、入ってくるパケットのクリーン度に注目し、低いものは排除する仕組みを用意する。本書のポイントは、四つ

1. セグメント分け
2. 外との出入口(ファイアウォール)を固める
3. 持込みPCの制限・ルールと安全に使う手法
4. サーバ保護のためのアクセス制御

である。まず、枠組みを意識し、パケットについてはファイアウォールで、持込みPCはルールと仕組みで守る。また、特に重要なサーバには、それぞれの重要度と危険度に応じた個別の対策を講じるというわけである。

また、セキュリティはその状態を維持する必要がある。常にセキュリティホールを埋め、ウィルス対策は最新のパターンファイルを備える。内容的には、次の二つ。

1. OSを最新状態に更新する手法
2. トラフィック、ログの管理

現在はここまで。次回は、ウィルス対策に進めることにする。
posted by tamaso at 23:21| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

ぷりんさんへ 情報セキュリティというか、情報処理技術者試験の勉強について

コメント、ありがとうございます。長くなりそうなので、記事にすることにしました。

・テクニカルエンジニア情報セキュリティ午前 精選予想600題試験問題集
・テクニカルエンジニア情報セキュリティコンパクトブック―情報処理技術者試験

この2冊は、店頭でざっと見ましたが、午前の試験対策用にはいいかな、という風に思います。午前の対策方法はいろいろありますが、手ごろな一冊があれば、それを何度か繰り返してマスターするというのがシンプルでいいと思います。2種の経験があれば、詰めて1カ月、というところでしょうか。私も、最初は午前から始めて、テキストが出揃ったら午後の対策を、と考えていましたが、結局、逆の手順でやってます。とりあえず、不安なネットワークを基本から積み上げて、年内には技法をざっと一通り、という予定です。

それから、プログラミングですが、「情報セキュリティプロフェッショナル教科書」で、基本の基本を読んだところですが、内容が浅いので、IPAの「セキュアプログラミング講座」をテキスト代わりに読むことにしました。「〜プロフェッショナル」は、網羅的にまとまっていますから、午後対策のスタートにはいいと思いますが、本試験対策には、もう少し深いテキストが必要かと思います。このあたりは、サンプル問題を解いてみて感じました。

コストをあまり考えないのなら、「すっきりわかった〜」は、私には手ごろな内容です。ネットワーク関連の知識の補充は、これをメインに進めています。年が明けると「問題集」が出てくると思いますので、3カ月前ぐらいには演習にかかりたいと思っています。
posted by tamaso at 00:02| Comment(1) | TrackBack(0) | 受験技術 | このブログの読者になる | 更新情報をチェックする

2005年11月16日

ネットワーク系・情報セキュリティのテキストを読む

テクニカルエンジニア(情報セキュリティ)試験の受験対策として、午後の試験問題に取り組んでみたが、今日は「マーケティング講座」出席のため、まとまった時間がなく、電車のなかで入門書をテキスト代わりにしての勉強。読みかけていた部分をはじめから。

ネットワークでの、セキュリティの基本中の基本は、「セグメント」だ。情報にはふさわしい置き場所というものがある。それは、紙でもデジタルでも考え方が大きく異なるものではない。デジタルの場合、それが物理的なものだけでなく論理的に分けるということになる、ということだ。

情報処理技術者試験で出題される、シーンというか舞台というか、ようするにその場面は企業が基本だ。一般消費者も登場するが、エンジニアは企業の一員として問題解決にあたる。さて、というわけで、情報セキュリティも「家庭」ではなく「企業」の情報セキュリティである。この場合の留意点が「セグメント」というわけだ。部外者と関係者とでアクセスの権限は異なる。まず、情報のあるサーバは、部内のセグメント内に置き、ルータなどで部外と分離するのが原則。そうしないと、端末ごとにアクセス権の付け替えをするなど、厄介な作業と、間違いや作業漏れなどのリスクが入り込む。外部からのパケットや外部に出るパケットを厳しくチェックすれば、部内の情報の安全性はかなり確保できる。その上で、部内にいる、社外の関係者をどうするかを考える。もし、サーバが物理的に部門内から離れたところに置かれるのなら、その間をVPNなど暗号化した経路を確保すればよい。

どこからどこまでが「内側」で、どこからが「外側」か、それは情報漏洩を考える際にも役に立つ考え方だ。情報を、デジタル的にも物理的にも、外側に持ち出す場合は特別に対策を考えなくてはならない。午後の問題には、この分け方が役に立ちそうだ。
posted by tamaso at 00:00| Comment(1) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2005年11月15日

テクニカルエンジニア(情報セキュリティ) 午後2試験サンプル問題 (4)

ひきつづいて、テクニカルエンジニア(情報セキュリティ)試験のサンプル問題、午後2に取り組んでみる。今回みていく部分は、「社員認証の検討」だ。

社員認証は、会員の個人情報のアクセスとも関連するため、厳密に行なわなくてはならない。ここでは、単なるID・パスワードだけではなく、暗号化してやりとりされる。

ID・パスワードは、ネット上でクライアントとサーバー間をパケットとして流れるわけで、このままでは盗聴の可能性がある。TCP/IPそのものには暗号化の機能がないからだ。そこで、C君は当初、「対象暗号方式」を使った「チャレンジ/レスポンス認証」を使おうと考えた。ICカードは、外部からの操作などでは、簡単に情報が盗み出せない、いわゆる「耐タンパ性」に優れていると判断したわけである。

が、実際には、ICカードが盗まれ、文中にあるように「消費電力を分析」することで、カード内の「鍵」が解読される可能性がある、とD氏は指摘する。対象暗号方式、すなわち、共通鍵暗号方式の場合、一方の鍵が解読された時点で暗号文も解読されることになる。非対称暗号方式の場合は、暗号化と復号化に、異なる鍵を使用する方式で、これならICカード内の鍵(暗号化用の鍵)が解読されても、暗号文そのものは守られるというわけである。

ちなみに、「チャレンジ/レスポンス認証」のしくみであるが、これは図2で示されている。まず、接続した社員のパソコンから認証サーバに社員IDとともに「チャレンジ」と呼ばれるデータの送信を依頼する。認証サーバ側には、社員IDごとの鍵があり、サーバ側で発生させた乱数を、この鍵で暗号化する。正規のICカード内にある鍵でしか、元の乱数には戻せないはずである。サーバから送信された乱数は、パソコンに送信され、パソコン側のICカード内の鍵で復号する。実は、この手続きで、社員側も「正規のサーバ」かどうかが判断できる。乱数が複合できないとしたら、サーバには社員のICカードに対応する鍵がない、ということになるからだ。

さて、社員側は、正規のサーバから送られてきた乱数に、社員である証明として、「個体識別番号」を結合させ、サーバが公開している鍵で暗号化する。これで、この証明データは、正規のサーバでなければ解読できなくなったはずだ。データを受けたサーバは、最終的に、チャレンジとして送った乱数と社員固有の情報とをつき合わせ、正規の社員として認証するというしくみだ。

ポイントは、サーバ固有の情報と社員固有の情報を、それぞれ相手側が固有の鍵でしか解読されない方法で暗号化し、ネットに流すというしくみである。これならば、盗聴されても第三者に内容がもれることはない。なお、非対称暗号方式は、処理に時間がかかるため、こうした短いデータのやりとりには使えるが、長いデータそのものを送るには向かない。一旦、非対称方式で相手先を確認したら、安全な方法で共通鍵を送り、その後は共通鍵で交信するという方法もある。

ICカードの紛失に気づいた時点で、カードそのものを無効にすることはできるが、そこにはタイムラグが生じる。第三者が、ICカードから「鍵」を読み出し、認証プロセスを通過したら、場合によっては多くの個人情報が漏洩の危機にさらされる。D氏は、知識・経験が豊富であるだけでなく、慎重派のようだ。
posted by tamaso at 09:55| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2005年11月13日

平成17年秋期・情報セキュリティアドミニストレータ試験 午後2問題 問2

今回は、テクニカルエンジニア(情報セキュリティ)試験ではなく、平成17年秋期に実施された情報セキュリティアドミニストレータ、通称情報セキュアド試験の午後問題が入手できたので取り組んでみた。解答には2時間の時間が与えられる。

個人情報の漏洩事故の事例問題である。設問の中には、法律の条文から引用する用語や、ガイドラインの内容に関するものもある。これらは、憶えていないと解答はできないが、後者については、一般的な原則や知識から解答することも可能だ。セキュリティ・アドミニストレータとしての「見識」で答えることができるので、後は時間との勝負という問題であろう。論理的な思考が試される。

この問題には、設問が5つある。設問1は、穴埋めが3件、設問2は短文の穴埋め、設問3は具体的なセキュリティ対策を短文で解答、設問4は契約の内容について明記すべきこと、そして、設問5は、(1)と(2)がありそれぞれ複数の質問がなされている。

設問1は、いずれも個人情報保護法の条文に基づいて解答すればよい。いわゆる8原則を踏まえた解答である。
a. これは法律の条文にある用語を知っているかどうかを問うもの。「個人情報取扱事業者」
b. 「〜の範囲内」とある。また、続けて「お取引内容の確認と…」から、「利用目的」だろう。 
c. これは法律ではなく、具体的な利用目的を問題文の中から見つける。前文にある、「各種イベントの案内を送付するため」というのが、データベース構築の目的である。

設問2は、原則の3番目「目的明確化の原則」に、個人情報収集の目的を知らせることが明記されている。「A社Web掲載事項の案の策定」にある、「応募はがきにも記載すべき事項のあることが分かった。」とは、この部分に一致している。従って、「お取引内容の確認と記録、および各種イベントのご案内のため」(28字)などであろう。

設問3、G社からA社に対して、個人情報を納品する際の留意点である。まず、納品の手段を確認する。図4にその取り扱い方法が書かれている。「(4) A社は、入力した個人情報(以下、個人データという)だけ情報処理会社から受け取ることとし、応募はがき情報処理会社の責任において破棄する。」とある。これで分かるように、具体的な手段は書かれていない。個人データは、デジタル化された情報には違いない。従って、受け取り方法は、メールやCD、そのほかの媒体を通して受け取ることができる。最も安全な方法は何か、である。情報の漏洩の可能性が最も少ない方法は、CDなどによるデータの受け渡しで、かつ、G社にはデータを残さないことであろう。メールは、盗聴されたり、複写されやすくなる。FTPなどでも同様である。また、USBメモリなどでも良いが、この方法だとメモリは他の用途にも用いられるため、厳密に受け渡ししないと、G社にデータが残る場合がある。「CDROM等の媒体で手渡しし、G社内の個人データは消去する」(29字)

設問4 「今回の事故の経緯とガイドラインの主旨を踏まえ」とある。ここでいうガイドラインとは、問題文の中にある「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」のことである。これは経済産業省が策定したもので、組織的安全管理措置、人的安全管理措置、物理的安全管理措置、技術的安全管理措置がある。この事故では、特に人的安全管理措置の「雇用契約時及び委託契約時における非開示契約の締結」にあたるだろう。G社がH社に対して入力作業を外注したのは、他社への開示にあたる。従って、外注するなとは言わないが、それを前提として契約をするのなら、次の二点がポイントになるだろう。1.外注先における情報の安全管理と他への開示の禁止、2.従業員に対する非開示契約の締結である。解答では、「G社が外注する際は、G社と外注先で非開示契約を結ぶこと」(27字)「G社および外注先企業は、従業員と非開示契約を結ぶこと」(26字)

設問5(1) 個人情報が流出した可能性のある応募者で、事実を伝えることのできる応募者とある。つまり、個人情報が流出した可能性のある応募者とは誰か、連絡がとれる応募者は誰か、この両方の条件が一致する応募者の範囲を述べることになる。また、併せて漏洩の経緯も述べる。

まず、流出の可能性のある応募者とは、誰か。問題文から分かることは、I氏以外ははがきを自宅に持ち帰っておらず、漏洩の可能性は薄い。逆にI氏が持ち帰ったはがきはすべて漏洩の可能性がある。理由は経緯の検討の際に言及する。さて、では、I氏の持ち帰ったはがきの中で、連絡ができる応募者は誰か。一つ目は容易に分かる。回収できたはがきの応募者である。では、二つ目は誰か。問題文中には「I氏がデータ入力している途中段階で、応募はがきの保管に不備があり、I氏の家族がごみと間違えて廃棄してしまった。」とある。回収できなかったはがきの中には、入力済みのものもあるわけである。この応募者には連絡ができる。ちなみに、回収できなかったはがきがあるのかどうか、であるが、その可能性は問題文中の「すべての応募はがきを回収できたかどうかの確認までは至らなかった。」とあり、明確でない。つまり、はがきの総数は5,000通は超えたのだが、何通だったかを把握できていなかった、ということだ。仮に5,200通が追跡できたとしても、応募数が5,300通なのか、5,200通かは分からない、というわけである。従って、回収不能のはがきがある可能性はあると考えられる。

では、経緯はどうか。回収できなかったはがきについては、そのまま個人情報が持ち去られたと解釈できる。回収できたはがきはどうか。実は、これも疑わしい。なぜなら、ごみ集積場で見つけられたはがきは、既に、一旦、第三者の手に渡り、コピーなどの方法で情報が漏洩した後、再び破棄された可能性があるからだ。さて、以上の内容のを解答にまとめるとこうなる。「I氏の自宅に持ち帰られ、事故後に回収できたはがきの応募者」(28字)「I氏が入力を完了させたはがきで、回収できなかった応募者」(27字)、経緯は、「ごみ集積場から、第三者が持ち去っったは応募がきから漏洩する」(29字)「ごみ集積場から応募はがきを持ち去り、再び破棄される間に漏洩」


設問5(2) 設問には、「一般への公表を併せてしないと」「どのような応募者に」「どのような不都合が生じる可能性があるか」とある。情報の漏洩の可能性がある応募はがきは、I氏が持ち帰り誤って廃棄されたものである。(1)では、連絡がとれる応募者について述べたが、連絡のとれない応募者がいる。ごみ集積場で回収ができなかったかも知れない応募はがきの応募者である。彼らへは直接、情報の漏洩の可能性を伝えることができない。しかし、だからといって放置しておいてはいけない。だから「公表」という手段で伝える必要がある。彼らは、事故の内容が公表されない限り、自らの個人情報が漏れた可能性があることすら気づかない。あとは、これを60字でまとめる。「廃棄された応募はがきのうち回収されず、かつ未入力の応募者は、公表しないと自身の情報漏えいの可能性があることを知りえない」(59字)という主旨でよいだろう。



posted by tamaso at 21:07| Comment(0) | TrackBack(0) | 過去問 | このブログの読者になる | 更新情報をチェックする

2005年11月12日

セキュア・プログラミングの勉強を始める

テクニカルエンジニア(情報セキュリティ)試験対策だが、サンプル問題を休んで、今日はテキストで勉強。サンプル問題の解答を進めたいが、インプット学習が遅れているように思うからだ。

テキストの全体像は、「情報セキュリティ概論」として巻頭に書かれている。テキストの内容は、基本的なものから応用まで、また、理論的なものから実用的なものと、多岐にわたる。その全体像を図示している。

勉強は、下から積み上げる方がモレ・ダブリが少なく、効率的だ。そうしてみると、最も弱いところは、「セキュアプログラミング技法」ということになる。この階層には、もうひとつの基礎「ネットワークインフラセキュリティ」があるが、現時点では「セキュアプログラミング技法」の方が遠い。

不明な用語もあるが、まずは全体像をつかむことが肝心だ。細かな用語は、今のところは推測でも良い。

このテキストでも、IPAの「セキュア・プログラミング講座」に基づいている。セキュアプログラミングは、大きく分けて2つ、「Webプログラム」と「製品プログラム」である。トピックとして、特に「クロスサイトスクリプティング」や「バッファオーバーフロー」が重く取り上げられている。こういうキーワードは、試験に出しやすい。要チェックだ。「できれぱC言語は使うな」とまで書いてある。よほどプログラミング・スキルが高くないと危険だ、というわけだ。それと、ブラウザでのデータの受け渡しにも、数多くの「罠」がある。意図的に送られてきた不正なコマンドは、サーバー側で無効化する必要がある。クライアント側で対策していても、油断してはいけない。

セキュリティエンジニアは、プログラマではない。プログラマのターゲットは、効率的に要件を満たすこと。そのために、セキュリティには目が行き届かないこともある。だからこそ、セキュリティの視点が必要なのである。が、コードを読むだけの技量がないと、見抜けないこともある。これは経験が必要なこともあるだろう。そのためには、サンプルを見るのも方法だ。先の「セキュア・プログラミング講座」は、サンプルも豊富であるように見える。

今日は前半まで。後半は明日読むことにして、余裕があればサンプル問題にかかる。
posted by tamaso at 23:37| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2005年11月11日

テクニカルエンジニア(情報セキュリティ)試験の参考書

今日は、一級販売士の更新研修と診断士による事業協同組合の仕事で、テクニカルエンジニア(情報セキュリティ)試験の受験対策は休み。

ということで、手元のテキストを紹介。「テクニカルエンジニア(情報セキュリティ)」の名称のテキスト・問題集も少しだが店頭に並ぶようになってきている。が、どちらかというと午前対策という感じで、もう少し網羅的かつ詳しく知りたい、というときには物足りなく感じる。

既に、このテキストを利用している受験者も多いと思うが、こちらは対象が異なるのだが、うまくまとまっていて使いやすそうに思う。本試験は、未知数ではあるが、目標は合格であって満点ではないので、まずはこれをきちんとマスターする、ということでいいと思う。


a.jpg
posted by tamaso at 23:22| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

テクニカルエンジニア(情報セキュリティ) 午後2試験サンプル問題 (3)

テクニカルエンジニア(情報セキュリティ) 午後2問題のサンプル問題の3回目。

いよいよ設問と直接関係する部分を読み進むことになる。「リモートアクセスの検討」は、設問1の「リモートアクセスについて」と、関連する。

登場する2名のエンジニアは、A社からシステム構築の依頼を受けたB社のエンジニアである。D氏はベテランの先輩、C君はまだ見習いというところだ。

冒頭、WEPを使った暗号化の説明がある。C君は安全だと判断したようだが、D氏は問題があると言う。確かに、WEPの脆弱性は既に一般的に知られている。設問は、この点を知っているかを問う問題だ。前半は、空白のある会話があり、専門用語の知識が試されるとともに、WEPの脆弱性についても空白が埋められるかどうかで確かめられる。

a.利用者が同じ値を使用し、WEPキーやローミングに用いられるもの、とある。
b.WEPキーとIVから生成される系列とは何か。
c.無線で送られる伝送フレームが、どうなると、キーストリームが同じになるのか。
d.同じキーストリームの伝送データ同士の排他的論理和は、何同士の排他的論理和と同じなのか。
e.伝送フレームのIPアドレスを変更し、平文データを送信するということは、伝送フレームを「どうする」という意味か。

文の前後関係から、このような意味として解釈できる。また、同一のWEPキーを使用する場合、暗号解読せずに同一のキーストリームの使用が判明するとあるが、その理由は、である。

さて、ここでWEPの脆弱性を確認したい。

問題文では、実は「あえて」ISPが提供する、無線LANサービスを取り上げている。これは、たとえばHOTSPOTのような、ファストフード店やホテルのロビーなどで、不特定多数の人が利用できるサービスである。こういう場合、特にWEPは無力化されやすい。

WEPについては、図1にあるように、WEPキーとIVでキーストリームを生成する。IVの長さは24ビットである。この24ビットIVは、そのまま伝送フレームに「生」で見えている。したがって、2の24乗、すなわち約1677万フレームを受け取ると、同一のIVが現れ、そこから暗号がほころびる。一見、大量のフレームに見えるが、ここで、ISPのサービスというキーワードが生きてくる。不特定多数の利用者が常時、このサービスを利用していると、1677万フレームは大量ではなくなる。数時間のモニタにより、同一のIVが理論的にも発生するわけである。あとは、D氏の説明(空白はあるが)の通り、キーストリームが推定され、暗号は解読されてしまう。

彼らが、SSLを使い、セキュリティの高い暗号を利用したのはそのためである。ここで、解答の方向が定まったわけだが、解答用紙への記入は後でも良い。先に読み進むことになる。

このように、WEPに対する、やや深い知識(少なくとも、問題文のD氏レベル)が必要であることがわかる。また、テクニカルエンジニアに求められる、「適用能力」もここで試されるわけである。SSLに切り替えるというところまでが、現場でのエンジニアに求められる。ここはスキル要件での「要件定義」にも関係している。
posted by tamaso at 00:54| Comment(0) | TrackBack(0) | 受験技術 | このブログの読者になる | 更新情報をチェックする

2005年11月10日

テクニカルエンジニア(情報セキュリティ) 午後2試験サンプル問題 (2)

サンプル問題として、テクニカルエンジニア(情報セキュリティ)午後問題が出題されている。今回は、その解釈の2回目。前回の続きだ。

さて、設問までは読み終え、問題文にかかることにする。問題文を読む際には
設問の内容を踏まえて読むことが重要。読んでいる途中に、いろいろと解答の
「ヒント」あるいは、「解答そのもの」が見つかる。また、解答の方向性が示
される場合もあるので、それぞれ、アンダーラインなどでマークしておく。本
試験では、カラーのマーカーは使えないので、シャープペンシルの使い方で、
マークの意味を決めなくてはならない。

もう一度、おおまかに確認しておく。
・各小見出しによる、問題文の構成
  システム要件
  リモートアクセスの検討 (図1 WEPの伝送フレームの概要)
  社員認証の検討     (図2 社員の認証フロー)
  会員認証の検討     (表1 ECシステムのWebサーバのドメイン名)
  システム構成の検討   (図3 ECシステムのネットワーク構成)
              (表2 L3スイッチの仕様)
  システムの試験

・設問のテーマ
  設問1 リモートアクセス
  設問2 会員の認証
  設問3 システム構成
  設問4 電子メールの不正中継の回避
  設問5 会員情報の保護

システム要件
これは、この問題の全体に関わる、システム構築の前提になる。
直接、設問に関わらないこともあるが、解答の際には前提事項として考慮すべ
き内容になることもある。整理しておくと良い

 Webページ 1.不特定多数に公開するページ 
        2.会員が利用するページ(認証後にアクセス)
         ※安全かつ利便性を損なわない「仕組」

 電子メール  不特定多数から受信

 掲示板機能  不特定多数の参照が可能
         ※担当社員が、質問・苦情に対し迅速に対応する

 無線LAN  担当社員が外出中に使用して、リモートアクセスする
        プロバイダによる無線LANサービスを活用
        1.掲示板の変更・削除
        2.会員情報にアクセス
         ※厳格な認証が必要

ここでは、不特定多数の利用するページ、電子メール、それに、社外から無線
LANによるリモートアクセスに、なんとなくリスクが潜んでいるように見え
る。他にも、会員情報とか、掲示板のリスク、なども想定できそうだが、とり
あえず、立ち止まることなく、先を読み進める。次は、無線LANの問題点が
設問と関係してくる。ここは長くなるので、更に次回に。
posted by tamaso at 00:20| Comment(0) | TrackBack(0) | 受験技術 | このブログの読者になる | 更新情報をチェックする

広告


この広告は60日以上更新がないブログに表示がされております。

以下のいずれかの方法で非表示にすることが可能です。

・記事の投稿、編集をおこなう
・マイブログの【設定】 > 【広告設定】 より、「60日間更新が無い場合」 の 「広告を表示しない」にチェックを入れて保存する。


×

この広告は1年以上新しい記事の投稿がないブログに表示されております。