2005年11月03日

テクニカルエンジニア(情報セキュリティ)試験で、出るのかどうか気になる「セキュアプログラミング」

先日、テクニカルエンジニア(情報セキュリティ)のスキル標準が公開された。その中に「セキュアプログラミング」に、「言語」が含まれていた。それがどうも気になる。

試験を通じて、どういう技術者像が求められているかを考えると、プログラミング技術は全体のほんの一部分であることが分かる。

以下、次の資料を参照して考えてみた。
■出題範囲(平成17年10月版)
http://www.jitec.jp/1_13download/hani20051031.pdf
■情報処理技術者スキル標準
http://www.jitec.jp/1_17skill/pdf20050114/TS20051031.pdf

まず、前提として、テクニカルエンジニア(情報セキュリティ)は、実は開発や運用の主体ではなくて「支援者」として位置づけられていることがわかる。

さて、その中の午後の試験の出題範囲だが、

1 情報セキュリティのシステムの企画・設計・構築に関すること
2 情報セキュリティの運用・管理に関すること
3 情報セキュリティ技術・関連法規に関すること
4 開発の管理に関すること

実際に、プログラミングに関係する部分は、「1」のところ。ここのところは、他にも項目がある。公開された資料では、列挙という形で示されている。

情報システムの企画・設計・構築、物理的セキュリティ対策、アプリケーションセキュリティ対策、データベースセキュリティ対策、セキュアプログラミング、ネットワークセキュリティ対策、システムセキュリティ対策 など

本試験では、上の4項目の中から適宜、出題される。で、気になる「言語」の知識だが、どのあたりの位置づけかというと、全体の知識体系の中では、かなり深い部分にある。

実務知識体系
A. 情報システムのセキュリティ要件定義
B. 情報システムのセキュリティ機能の設計・開発
 1 セキュリティ機能の設計
 2 セキュリティ機能の実装とテスト
  1 セキュリティ機能の実装
   2.1.10 プログラミング(C++、Java、Perlなど)
   2.1.11 セキュアプログラミング
  2 システムテストの支援
  3 関連文書の更新
 3 セキュリティ機能の本番移行
 4 情報セキュリティ面からのレビュー
C. 情報システム運用時のセキュリティ管理の支援
D. 開発プロジェクトの管理

コア知識体系
E. 情報システムへの脅威と社会環境
F. 情報セキュリティ知識


試験は、深く掘り始めるとキリがない。もちろん、そういう問題が出ることも往々にしてあるのだが、上のAからD、EとFのバランスが肝心だ。

JITECでは、おそらく、何名かの委員を募って問題の作成にあたるものと思われる。メンバーは、想像するしかないが、学者や教授、役人、セキュリティに関連したプロ(設計や監査、コンサル)、などだろうが、そのなかに、プログラミングの権威みたいな先生がいると、出題される可能性が高くなるだろう。
posted by tamaso at 21:37| Comment(0) | TrackBack(0) | 受験戦略 | このブログの読者になる | 更新情報をチェックする

広告


この広告は60日以上更新がないブログに表示がされております。

以下のいずれかの方法で非表示にすることが可能です。

・記事の投稿、編集をおこなう
・マイブログの【設定】 > 【広告設定】 より、「60日間更新が無い場合」 の 「広告を表示しない」にチェックを入れて保存する。


×

この広告は1年以上新しい記事の投稿がないブログに表示されております。