2005年11月08日

テクニカルエンジニア(情報セキュリティ) 午後2試験サンプル問題

午後2試験の持ち時間は2時間、長いようだが、解答に充てられる時間は少ない。
効率よく解く必要があるが、そのためにはそれなりに解答技法や読解力も必要に
なる。今回は問題を選択する必要はないが、本試験では選択する時間も無駄にで
きない。

さて、解答に至るまでの手順だが、セオリーがある。
1.テーマの確認
2.冒頭部分を読む
3.小見出しを通して見ておく
4.設問を読み、要点を憶える(メモ書きしておく)
5.問題文を読む → 読みながら解答の方向性を整理する
6.解答の主旨をざっとまとめる(メモしてもいい)
7.解答する → 字数は書きながら調整

それぞれ、サンプル問題に沿って確認していく。

1.テーマの確認
「安全な電子商取引システムの構築」とある。
これだけでも、なんとなく「機密性」「完全性」「可用性」で設問が考えられる。
また、取引には「与信」や「認証」「電子署名」などもあり、「暗号化」などの
要件もありそうに思う。ざっと、このあたりを予想してみて、それから、冒頭の
文を読む。

2.冒頭部分を読む
全体はまだ読まない。ただし、設問を読む前に、問題文の大体の把握をしておく
と、後で問題に掛かる際に、要点にフォーカスしやすい。

冒頭部分を読むと、一般消費者が対象である「物販」業者であり、従来はカタロ
グとファックスという、紙ベースのシステムであったことが伺える。更に、送品
は「外注」しており、電子化に伴うリスクなど、このあたりで予測できる。

3.小見出しを通して見ておく
「システム要件」「リモートアクセスの検討」「社員認証の検討」「会員認証の
検討」「システム構成の検討」「システムの試験」という流れ。これを見ると、
インシデントの事例ではなく、システム構築の事例であると分かる。
ついでに図・表は眺めておく。無線LAN、ICカードによる認証フロー、EC
システムのwebサーバ、ネットワーク構成、L3スイッチとある。これで大体
のシステム構成像がつかめれば、あとは設問に移る。

4.設問を読み、要点を憶える(メモ書きしておく)
設問を読むのは、問題文のどこにフォーカスするかを、予め決めておくためだ。
長文であり、ただ読んでいては解答のために、また読み直したり、要点を探した
りと、非効率的なことをすることになる。練習のときはそれでも良いが、本番で
は、その時間はない。設問を読む際は、「これも解答のヒントである」という点
に気をつけたい。ここは飛ばして読まず、最初の行から読む。

設問1 リモートアクセス
設問2 会員の認証
設問3 システム構成
設問4 電子メールの不正中継の回避
設問5 会員情報の保護

というテーマが1行目にある。これで、問題文(小見出し、図・表)のどの辺りか
の見当をつける。できれば、この項目だけでもメモにして、参照しながら問題文
に掛かると良い。さて、設問を更に見ていく。

設問1
(1) 空白を埋める問題。五つあるが、字数などの制限は書かれていない。本格的
  に読む前に、該当箇所だけはさっと目を通す。無線LANでのやりとり、ぐ
  らいが分かれば良い。
(2) WEPキーの欠点について問う問題。知識で解けそうだ。
設問2
(1) 会員パスワードと受注Webの証明書について。ここは問題文にあたる必要
  がありそうだ。
(2) クッキーの設定について、「属性」とある。ここも問題文にあたる。
設問3
(1) 静的ルーティングの理由。動的との違いを踏まえ、問題文から理由を探す。
(2) LSサーバの意味はこの時点では不明。問われている内容は、パケットフィ
  ルタリングの事らしい。
(3) 会員DBの保護について、電話番号入力時の注意点。この段階では推測する
  ことになるが、入力フォームのセキュリティに関する問題のようだ。
設問4
(1) 電子メールサーバが「踏み台」にされないための対策。60字と長い。
(2) 具体的なフィルタの設定ルールを示す。(1) との書き分けも考える。
設問5
(1) 図2、「対象暗号方式」の問題点について。これは知識問題らしい。
(2) 会員DBアクセスの際の、制限事項。個人情報の漏洩をどう防ぐか、である
  と想定できる。
(3) 内部の情報漏洩対策の妥当性について。社員認証・会員DBアクセス方法以
  外、とある。ここは問題文にあたる必要がある。


さて、ここまでで、設問を読むところまできた。まだ問題文は読んでいないが、
何を見つけ出す必要があるか、どういう知識が必要かは、ほぼ分かった。

長くなるので、今回はここまでにして、続きは後日。
posted by tamaso at 00:04| Comment(2) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2005年11月07日

テクニカルエンジニア(情報セキュリティ)試験のスキル標準をまとめ始める

春の受験までは、まだ時間はあるようだが、迷っているうちに日が経ってしまう。早めにスケジュールを具体化した方がいい。スキル標準の内容は、「知識体系」のA〜Dが「実務知識」、EとFが「コア知識」。コア知識は、それだけでは午後の試験の問題には、し難い。ただし、知っておくべき知識、という位置づけだから、英単語のように名前と内容を一致させておく必要はあるだろう。

さて、一方では、実務知識があり、これは午後の問題に応用させることになるだろう。今回は、A.の「情報システムのセキュリティ要件定義」をさらっと、項目だけまとめる。セキュリティ要件定義というのは、ソフト開発でも少しだけ出てくる言葉だ。セキュアドには見当たらないので、このあたりのテキストからまずあたることにする。

一応、項目として、あげておく。要件定義のうち、前半の部分になる。脆弱性と脅威の分析。ここは、セキュアドにもある手法が使える。次は、中身にかかることにする。後半の「セキュリティ要件定義」は次回以降。

1 情報システムの脆弱性・脅威分析
 1.1 情報資産の評価
  1.1.1 情報資産の識別方法(情報システム、ネットワーク、データ、文書など)
  1.1.2 情報資産の評価方法(機密性、完全性、可用性に関する重要度、致命度、危険度など)
 1.2 リスクの特定(脆弱性・脅威の検出)
  1.2.1 脅威の分析(情報資産に損害を与える人、物、イベント、災害など)
  1.2.2 脆弱性の分析(脅威によって悪用される情報システムの弱点)
  1.2.3 リスクの存在箇所
     (サーバ、クライアント、ネットワーク、ルータ、ソフトウェア、開発ツール、記録媒体など)
  1.2.4 リスクの発生時期
     (勤務時間、勤務時間外、平日、休日または定休日、緊急対応時、対外説明時など)
  1.2.5 リスクの原因(物理的要因、技術的要因、人的要因など)
 1.3 リスクの算定
  1.3.1 定量的リスク評価方法
  1.3.2 定性的リスク評価方法
  1.3.3 リスク対策のコスト
  1.3.4 リスクの許容
 1.4 リスクの評価
  1.4.1 リスク基準
  1.4.2 リスク対応の優先順位
 1.5 リスク対策の選択
  1.5.1 予防的対策
  1.5.2 緊急時への対策
  1.5.3 災害時への対策
  1.5.4 防護的対策
  1.5.5 保守への対策
  1.5.6 侵入検知および分析
posted by tamaso at 00:27| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2005年11月05日

情報処理技術者試験の午後問題対策について

テクニカルエンジニア(情報セキュリティ)だけでなく、午後問題がいわゆる「記述式」の場合、慣れていないと「時間切れ」とか「字数不足」などという事態が生じる。

時間が足りないのは、書き慣れていないか、問題文の中からポイントが見つけ出せていないケース、それと、解答すべき知識が足りていない場合だ。知識のことは勉強して憶えるのが基本だから、効率よく勉強すること、またの機会に。

さて、書き慣れるとか、読み慣れるとかは、過去問を繰り返しこなしていけばいいのだが、この場合、先の「知識」と両方で引っかかる場合があり、書く・読むのスキルにややブレーキがかかる。書く・読むのスキルは、次の方法などが手軽で、かつ、訓練の進捗度が把握しやすい。

新聞の社説や解説、雑誌のコラム、短い論説文など、あるテーマについて語っている記事を使う。多少のボリュームがあったほうがいい。これを100字、50字、などで要約する。読むのに何分、書くのに何分、これも記録するつもりでチェックする。

午後問題は、読み書きのスキルも問われる試験になる。エンジニアとして実務能力があったとしても、書いて証明するしか方法はないので、読み書きの能力は身につけておく必要がある。もっとも、これは、仕事や他の試験でも役立つ。私の場合、中小企業診断士試験の受験の際に時間をかけで訓練したが、後の試験でももちろん役立っている。テキストも対策本も必要ないので、すぐにでも始めたらいいと思う。
posted by tamaso at 23:31| Comment(0) | TrackBack(0) | 受験技術 | このブログの読者になる | 更新情報をチェックする

2005年11月03日

テクニカルエンジニア(情報セキュリティ)試験で、出るのかどうか気になる「セキュアプログラミング」

先日、テクニカルエンジニア(情報セキュリティ)のスキル標準が公開された。その中に「セキュアプログラミング」に、「言語」が含まれていた。それがどうも気になる。

試験を通じて、どういう技術者像が求められているかを考えると、プログラミング技術は全体のほんの一部分であることが分かる。

以下、次の資料を参照して考えてみた。
■出題範囲(平成17年10月版)
http://www.jitec.jp/1_13download/hani20051031.pdf
■情報処理技術者スキル標準
http://www.jitec.jp/1_17skill/pdf20050114/TS20051031.pdf

まず、前提として、テクニカルエンジニア(情報セキュリティ)は、実は開発や運用の主体ではなくて「支援者」として位置づけられていることがわかる。

さて、その中の午後の試験の出題範囲だが、

1 情報セキュリティのシステムの企画・設計・構築に関すること
2 情報セキュリティの運用・管理に関すること
3 情報セキュリティ技術・関連法規に関すること
4 開発の管理に関すること

実際に、プログラミングに関係する部分は、「1」のところ。ここのところは、他にも項目がある。公開された資料では、列挙という形で示されている。

情報システムの企画・設計・構築、物理的セキュリティ対策、アプリケーションセキュリティ対策、データベースセキュリティ対策、セキュアプログラミング、ネットワークセキュリティ対策、システムセキュリティ対策 など

本試験では、上の4項目の中から適宜、出題される。で、気になる「言語」の知識だが、どのあたりの位置づけかというと、全体の知識体系の中では、かなり深い部分にある。

実務知識体系
A. 情報システムのセキュリティ要件定義
B. 情報システムのセキュリティ機能の設計・開発
 1 セキュリティ機能の設計
 2 セキュリティ機能の実装とテスト
  1 セキュリティ機能の実装
   2.1.10 プログラミング(C++、Java、Perlなど)
   2.1.11 セキュアプログラミング
  2 システムテストの支援
  3 関連文書の更新
 3 セキュリティ機能の本番移行
 4 情報セキュリティ面からのレビュー
C. 情報システム運用時のセキュリティ管理の支援
D. 開発プロジェクトの管理

コア知識体系
E. 情報システムへの脅威と社会環境
F. 情報セキュリティ知識


試験は、深く掘り始めるとキリがない。もちろん、そういう問題が出ることも往々にしてあるのだが、上のAからD、EとFのバランスが肝心だ。

JITECでは、おそらく、何名かの委員を募って問題の作成にあたるものと思われる。メンバーは、想像するしかないが、学者や教授、役人、セキュリティに関連したプロ(設計や監査、コンサル)、などだろうが、そのなかに、プログラミングの権威みたいな先生がいると、出題される可能性が高くなるだろう。
posted by tamaso at 21:37| Comment(0) | TrackBack(0) | 受験戦略 | このブログの読者になる | 更新情報をチェックする

2005年11月02日

テクニカルエンジニア(情報セキュリティ)のスキル標準を読む

テクニカルエンジニア(情報セキュリティ)に関して、ようやく必要なスキルの内容が発表された。「プログラム言語」の7文字で、ネットワークだけでなくプログラム言語までやらねばならないのかと、少々気が重くなったのだが、実際には、全体の中の一部ではある。

持ち時間90分と言う条件で、セキュリティの広範囲な内容のスキルを試すわけだから、どこまで深い知識・スキルを問うことができるか、である。むしろ、幅広い知識で勝負する方が作戦としては正しいと思う。

さて、というわけで、かなり量が多いのだが、いわゆる「スキル標準」を読むことにした。今日は忙しくて、ほんの少しだけ。それと、念のため、昨日の「セキュア・プログラム講座」もざっと眺めるように読んだ。どちらもテキスト代わり、とまではいかないが、対策本として位置づけたい。

今のところは、あまり詳細に突っ込むより、全体の構成を捉えることに注力したい。
posted by tamaso at 00:52| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2005年11月01日

セキュアプログラミングが試験範囲に含まれるようだ

情報処理技術者試験センターのサイトが更新された。テクニカルエンジニア(情報セキュリティ)試験の、「出題範囲」と「情報処理技術者スキル標準」が追加された。この内容から、「プログラム言語」が試験に出される可能性があることを表明された。言語は、「スキル」であるだけに、訓練を必要とする。知識を積み重ね、更に、訓練も重ねる必要があるとなると、かなりタフな訓練が必要になるかもしれない。

さて、上記に直接関連はしないが、IPA(情報処理推進機構):セキュリティセンターでは、「セキュリティエンジニアリング」として、ソフト開発者向けのページが用意されている。ここに、この試験の特にセキュアプログラミングに関する指標が見えなくもない。以下に、目次を示しておこう。

目次
1. セキュリティ脆弱性の低減
2. セキュアプロトコルと相互運用可能性確保
3. セキュリティ機能の実装
4. セキュアな動作環境(オペレーティングシステム等)
5. 利用しやすさの向上
6. セキュリティイベント説明能力の確保
7. ソフトウェア開発プロセスの成熟
8. セキュリティ脆弱性情報の取扱い
9. 「基準」
10. 関連組織へのリンク
11. セキュリティエンジニアリング全般に関する参考文献

これだけ眺めてもよく分からない。詳細に見て、勉強の方針を考えることにする。
posted by tamaso at 01:13| Comment(0) | TrackBack(0) | 受験技術 | このブログの読者になる | 更新情報をチェックする

広告


この広告は60日以上更新がないブログに表示がされております。

以下のいずれかの方法で非表示にすることが可能です。

・記事の投稿、編集をおこなう
・マイブログの【設定】 > 【広告設定】 より、「60日間更新が無い場合」 の 「広告を表示しない」にチェックを入れて保存する。


×

この広告は1年以上新しい記事の投稿がないブログに表示されております。