2005年11月12日

セキュア・プログラミングの勉強を始める

テクニカルエンジニア(情報セキュリティ)試験対策だが、サンプル問題を休んで、今日はテキストで勉強。サンプル問題の解答を進めたいが、インプット学習が遅れているように思うからだ。

テキストの全体像は、「情報セキュリティ概論」として巻頭に書かれている。テキストの内容は、基本的なものから応用まで、また、理論的なものから実用的なものと、多岐にわたる。その全体像を図示している。

勉強は、下から積み上げる方がモレ・ダブリが少なく、効率的だ。そうしてみると、最も弱いところは、「セキュアプログラミング技法」ということになる。この階層には、もうひとつの基礎「ネットワークインフラセキュリティ」があるが、現時点では「セキュアプログラミング技法」の方が遠い。

不明な用語もあるが、まずは全体像をつかむことが肝心だ。細かな用語は、今のところは推測でも良い。

このテキストでも、IPAの「セキュア・プログラミング講座」に基づいている。セキュアプログラミングは、大きく分けて2つ、「Webプログラム」と「製品プログラム」である。トピックとして、特に「クロスサイトスクリプティング」や「バッファオーバーフロー」が重く取り上げられている。こういうキーワードは、試験に出しやすい。要チェックだ。「できれぱC言語は使うな」とまで書いてある。よほどプログラミング・スキルが高くないと危険だ、というわけだ。それと、ブラウザでのデータの受け渡しにも、数多くの「罠」がある。意図的に送られてきた不正なコマンドは、サーバー側で無効化する必要がある。クライアント側で対策していても、油断してはいけない。

セキュリティエンジニアは、プログラマではない。プログラマのターゲットは、効率的に要件を満たすこと。そのために、セキュリティには目が行き届かないこともある。だからこそ、セキュリティの視点が必要なのである。が、コードを読むだけの技量がないと、見抜けないこともある。これは経験が必要なこともあるだろう。そのためには、サンプルを見るのも方法だ。先の「セキュア・プログラミング講座」は、サンプルも豊富であるように見える。

今日は前半まで。後半は明日読むことにして、余裕があればサンプル問題にかかる。
posted by tamaso at 23:37| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

広告


この広告は60日以上更新がないブログに表示がされております。

以下のいずれかの方法で非表示にすることが可能です。

・記事の投稿、編集をおこなう
・マイブログの【設定】 > 【広告設定】 より、「60日間更新が無い場合」 の 「広告を表示しない」にチェックを入れて保存する。


×

この広告は1年以上新しい記事の投稿がないブログに表示されております。