2005年12月31日

情報セキュリティに対する脅威と攻撃手法

テクニカルエンジニア(情報セキュリティ)でも、情報セキュリティアドミニストレータでも、この「脅威」とか「攻撃手法」については、概要ぐらいは知っておく必要がある。

そもそも、情報セキュリティが必要なのは、この「攻撃」があるからだ。ただし、内部から情報が漏れたりすることもあるから、これだけでは充分ではない。

さて、攻撃のパターンだが、これにはいろいろある。一言で「不正侵入」といっても、これそのものが攻撃ということではなく、結果として、機密性・完全性・可用性が損なわれるから、攻撃ということになる。情報が漏洩するだけではなく、破壊されたり改竄されたりもする。また、大量のリクエストを送り込み、サーバの機能を殺してしまうこともあるし、ウイルスの活動により、ネットワークが機能不全になることもある。

攻撃には、対策があるわけで、これも、特定の攻撃に有効なのではなく、複数の攻撃に対応するし、また、一つの攻撃パターンに複数の対策で対応することもある。要するに、縦糸と横糸のようなものだ。
posted by tamaso at 23:27| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2005年12月30日

情報セキュリティアドミニストレータ試験との微妙な違い 〜 テクニカルエンジニア(情報セキュリティ)試験

テクニカルエンジニア(情報セキュリティ)試験も情報セキュリティアドミニストレータ試験も、午後1の試験は「記述式」とある。ところが、セキュアドは午後2も「記述式」であるのに対して、テクニカルエンジニアでは「論述式(事例解析)」となっている。この差は何か。

現在のところ、手がかりらしいものは「サンプル問題」しかない。設問を少し読んでみたい。午後2サンプル問題である。

設問1(2) 同一のWEPキーを使用した場合に暗号を解かなくとも、同じキーストリームを使っていることが判明してしまう理由を、20字以内で述べよ。

「理由を述べよ」という設問は、このあとにも、設問2(1)(2)、設問3(1)(3)に見られる。また、理由のほかに「内容」「問題点」「制限事項」「妥当性」などを問う設問が見られる。これらは、単純に与件や設問のキーワードを記述するだけでは間に合わない。セキュリティ技術について、簡単に説明できる程度の知識だけでなく、現場に適用できる知識や長所・短所などの特徴も心得た上で、理由や内容、問題点を述べる、ということなのだろう。

教科書にあたる、ということはまず必要なことではあるが、もう一歩踏み込んだ知識、現場対応力というものが試される。
posted by tamaso at 01:38| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2005年12月29日

合格証書が届く 〜 システムアナリスト試験

中小企業診断士試験の受験のため、2003年は欠落しているが、ほぼ毎年・毎回、何かを受験してきた「情報処理技術者試験」だが、もともとは、今回のシステムアナリスト試験で打ち止めにするつもりだった。

それが、新設のテクニカルエンジニア(情報セキュリティ)試験を受験する気になったのは、情報セキュリティアドミニストレータ試験が、結果としては合格だったのだが、本当にスキルが身についているか、ということに疑問を持つようになったからだ。システムアナリストは、情報セキュリティの基本である機密性・完全性・可用性の視点ではなく、投資効果とか経営戦略との合致を見るのが本来の要件であるし、システム監査で監査する項目では、当然のことだが情報セキュリティに関するものも含まれるのだが、本試験ではそうした「詳細な」部分の試験ではなく、「監査人としての視点」であるとか、「内部統制の仕組みの存在と有効性」の確認や、「ルールの穴の発見」などが中心になる、など、情報セキュリティに踏み込んだものではない。

リスク、という意味では、システムアナリストでもシステム監査でも、それぞれの立場で見つけるべきリスクはあるが、情報セキュリティに関連したリスクは、他のリスクに比べると、実際に事故になった際の、企業へのダメージも、社会的な影響も大きい。しかも、そうしたリスクは、経営者も現場も、あまり理解できてない場合が多く、ある意味、たいへん危険であると言えるかもしれない。

技術でも知識でもスキルでも、自分だけのものにするのではなく、情報を与える・発信することで、誰か、どこか、に、役に立つ必要があると思う。試験は、腕試しや自身の能力の客観的な表明の手段にはなるが、それだけではなく、知識・スキルの体系的な整理のためにも役にたつし、それが、役立つ情報のデータベースにもなると思う。
posted by tamaso at 02:03| Comment(0) | TrackBack(0) | 雑感 | このブログの読者になる | 更新情報をチェックする

2005年12月28日

試験範囲を見直す 〜 テクニカルエンジニア(情報セキュリティ)試験

システムアナリストの時も、システム監査のときも、特にそういうことはしなかったが、今回は決定版のテキストがないこともあって、あれこれと乱読のように入門書や他のテキストにあたっているだけに、念のため誤差が出ていないか、確認することにした。

午前は特に問題はないと思うので、確認は午後のテクニカルエンジニア(情報セキュリティ)試験だけだ。

1 情報セキュリティシステムの企画・設計・構築に関すること
2 情報セキュリティの運用・管理に関すること
3 情報セキュリティ技術・関連法規に関すること
4 開発の管理に関すること

詳細は省略するが、これを見ると必ずしも「テクニカル」だけではない。1の企画・設計・構築には、多くの技術が適用されるし、2の運用・管理も、セキュリティ技術の長所や短所を知っておく必要があるようだ。また、運用管理は、緊急事態への備えなどもある。そのほか教育や監査など押さえる範囲は広い。このあたり、情報セキュリティアドミニストレータ試験と重なる部分が多いように思う。

その下、技術・関連法規は、字面でみるとピュアな技術的な知識のほかに、法律も知っておく必要があるようである。個人情報保護法だけではなく、不正侵入防止法や、刑法、デジタル署名に関するものなど、そのほか著作権法のような知的財産の保護に関する法律も含まれそうだ。法律は、そもそもなぜ作られたか、を知ることが基本になる。数字や用語などがあり、退屈だが憶える必要のあることもそこそこある。

さて、最後の開発管理。ここは、文書や人の管理や環境の整備などがその内容になる。技術的部分より、与件の読み取り方がポイントになるかも知れない。経験は重要だが、あまり経験に頼りすぎると的外れになる恐れもある。
posted by tamaso at 01:10| Comment(0) | TrackBack(0) | 受験戦略 | このブログの読者になる | 更新情報をチェックする

2005年12月26日

inspireさんへ 〜 テクニカルエンジニア(情報セキュリティ)試験と情報セキュリティアドミニストレータ試験について

はじめまして。

新制度ということもあって、情報とか資料が少なく、対策もなかなか苦労しますが、両者の違いについて、自分なりの解釈は次のようなものです。

情報セキュリティアドミニストレータ(SU)はユーザーの立場、テクニカルエンジニア(SV)は技術者(と言っても開発者ではないですね)の立場、というのが基本ですから、SUは「規定と運営」、SVは「実装と運用」という感じでしょうか。

従来は、情報セキュリティに関する試験というと、情報セキュアドしかなかったため、技術者に要求される知識やスキルもある程度は試されたかも知れません。今後はもう少し明確な区別がされるものと思います。SUは、基本的には「リスク分析」や「マネジメント」が本来中心になると考えられます。基本方針を立て、組織の技術的・人的な「防御の仕組み」の作戦マップを作る、ということでしょうか。最近の試験では、技術的なスキルも試されていますが、むしろリスクの在り処やマネジメントのほころび、ルールの欠陥などを見つけて指摘する、という問題も数多くあるようです。

一方、SVは、技術の選定や適用が中心ですから、リスクというよりも具体的な攻撃のパターンや手法の把握と、それらに有効な対策の選定、セキュリティホールの指摘や対策の死角を見つけて穴埋めをする、などでしょうか。実際には、設計・開発から運用まで含まれるため、かなり広範囲な知識が必要になりそうです。また、法律や基準もセキュアドだけに求められるものではなさそうで、基本となるものは一通り憶えておく必要があると思います。

過去問による演習は、必ずしも試験範囲をカバーしていないかも知れませんが、「読む」「考える」「書く」という、記述式・論述式の基礎体力を養うには良い材料といえそうです。最初は時間通りに仕上げるのではなく、時間をかけて与件(問題)と設問の構造をまとめるところから始めるのが良いと思います。過去問は、構造的には良くできていますから、慣れれば本番ではアンダーラインを引くだけで構造が見えてくるようになるでしょう。

演習の際は、解答の間違いに注目するよりも、なぜその解に至ったかに注目して矯正するようにすると、本番での対応力がつくと思います。この手の試験は、知識やスキルのほかに「受験技術」も必要です。技術は憶えるものではなく、練習して身につけるものですから、少々退屈な練習になるかもしれませんが、やっただけの力はつくはずです。

posted by tamaso at 23:56| Comment(1) | TrackBack(0) | 受験技術 | このブログの読者になる | 更新情報をチェックする

2005年12月25日

暗号化と認証技術 〜 テクニカルエンジニア(情報セキュリティ)試験対策

セキュアプログラミングは、Perlの入門書を吟味中。というわけで、引き続き、ネットワーク系のセキュリティについて勉強を進める。昨日は、アクセス制御と監視・抑制であったが、今日は暗号化と認証、それに無線LANもこなす。

暗号の基本は、アルゴリズムと鍵のふたつ。アルゴリズムが完全であっても(ありえないことだが)、鍵の管理に問題があれば、盗聴の可能性が高くなる。典型的な例は、WEPということになるだろう。アルゴリズムとしては定番のRC4は他の暗号にも使われているが、WEPは鍵の推定という問題があってセキュリティが甘くなっているわけだ。また、鍵の推定ができなくても、力技で解読してしまう方法もある。鍵は、時々変更するのがセオリーだ。逆に、アルゴリズムについては、DESより3DESという具合に、より安全性の高い技術が探られている。個別の技術については、長所・短所、特徴などを押さえるのが受験対策の基本だ。

認証とは、正当なものであることの証明ということなのだが、何を認証するかによっていくつかに分けられる。正当なユーザであることを証明する「ユーザ認証(クライアント認証)」の他に、通信内容の正しさ証明する「メッセージ認証」、また、接続先が正しいかどうかは「サーバ認証」ということになる。とはいえ、そもそも何を根拠に正当性を主張するか。それには第三者の証明が必要になる。「認証局」による正当性の証明ということだが、実は、認証局の証明も必要になる。最後は、ルート認証局での証明が、すべての下位にある認証局の証明になるわけだ。この認証技術は、暗号化技術のサポートによって実現している。認証の仕組みそのものはシンプルだが、暗号化技術とともに進化するといえるだろう。

さて、無線LANである。トレンドはIEEE802.11iである。現在は移行期といえるが、IPAのサンプル問題にあるWEPは、既に過去のものになっている。WEPによる暗号化は、鍵の推定ができるため単独で使うのには危険が伴う。WPA、WPA2と新しい技術が導入されている。これには、鍵の問題以外に、ユーザ認証も改善されている。無線LANは便利ではあるが、アクセスが容易なだけに防御もしっかりさせる必要がある。少なくとも、社内LANへの接続は無線LANのアクセスポイントからは認めてはいけない。

ネットワーク系のセキュリティ技術は、他にもある。セキュリティプロトコルがそれだ。ここを押さえて、上位のファイアウォール、IDSの運用を再度確認する。
posted by tamaso at 22:32| Comment(1) | TrackBack(1) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2005年12月24日

久しぶりのネットワークセキュリティ 〜 テクニカルエンジニア(情報セキュリティ)試験対策

トラブル続きで、自宅待機が続いたが、ようやく問題は解決した。今日は、コーヒーショップで3時間ほど、ネットワークセキュリティを久しぶりにやってみた。

内容は2度目、「復習」というスタンスになる。テーマは、社内LANのアクセス制御とウイルス対策の2つだ。

社内LANにつながっているサーバには、企業秘密や個人情報など、極めて重要な情報がある。必要な人には公開する必要があるが、部外者のアクセスは厳しく制限される必要がある。そのための手法は、大きく2つ。アクセス制御の基本は「セグメント分け」によるコントロール。ルータやレイヤ3スイッチでアクセスのコントロールをする。接続は可用性も考慮するとスター型が良い。また、外部からのアクセスを制限するには、ファイアウォールが基本だが、更にウイルス対策なども考慮するとステートフルインスペクションというものもある。

また、内部からの漏洩については、抑止策ということにも効果のある、IDSという手法がある。そもそもIDSは監視ツールであるから、これだけでは防御にはならないが、監視することで抑止効果が期待できる。より積極的に防御するには、IDPを使う方法がある。いずれもネットワーク上でパケットを監視するか、サーバー上でアクセスを監視するというのが基本だ。

そのほかに、セキュリティホール対策や未使用ポートの閉鎖など、基本技は当然必要だ。

さて、ウイルス対策だが、東京から移動の際に読んだ部分の復習。クライアントやメールサーバにスキャンソフト(ワクチン)を実装するだけでなく、正しく定義ファイルを更新することもネットワーク運営の立場からは意識しておく。また、持ち込みPCの管理も重要だ。社用として登録したもの以外に、私物や未登録(不審なPC)も社内LANに接続される恐れがある。情報の保護だけでなく、こうしたPC(登録済みも含めて)がウイルスを持ち込むことも当然考えられる。「検疫ネットワーク」という考え方で、登録PCは浄化してから正式にLANに接続する。

また、これもネットワーク制御と同様、セキュリティホールを突くウイルスやメールとか添付ファイルから以外にWebからでも感染する場合がある。少なくとも不要なポートは塞ぐ。ファイルによる感染の場合はパターンとの照合という方法もあるが、最近はサーバなどのメモリ上に常駐するウイルスもある。こうしたものは発見しにくい。先に述べたステートフルインスペクションが効果を示す場合がある。

ということで、明日は認証と暗号あたりをテーマに進めたい。用語とか手法は、使い方とセットで理解すると午後対策には有効だと思う。

posted by tamaso at 22:46| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2005年12月23日

テキストの「幅」と「深さ」について 〜 テクニカルエンジニア(情報セキュリティ)のテキスト選び

受験対策は、テクニカルエンジニア(情報セキュリティ)試験であれ、情報セキュリティアドミニストレータ試験であれ、要するに合格点が取れるだけの知識とスキル、それに受験技術の習得が必要となる。そのための道具は、何も「教科書」「問題集」と名のついたものだけが対象ではない。とはいえ、まずは教科書である。

さて、教科書選びの視点には何が必要なのか。つまり、教科書に、何を求めるのか、どのような機能があれはいいのか、ということである。このテーマにあたっては、網羅性というものを重視したい。まず試験の「世界観」というか、全体の地図を見通せるか、である。

教科書に限らないが、こうした書籍には「幅」と「深さ」という要素がある。専門書は、ある意味、幅を極端に狭くして、深さを充分にとっている。しかも、ある程度深い部分から書き始めているわけだ。入門書は、幅は狭く、浅いところから書き始め、適当な深さでとどめている。では、教科書はどうか。基本的に、本試験での解答をイメージして欲しい。60%が合格点であれば、10の質問のうち6つを完璧に解答する戦略で行くか、10答えるが6割以上の内容を狙うか。現実的には後者がより現実的な方法ではなかろうか。であるならば、知識・スキルレベルで「空白」があることは、本試験に臨む際の大きなリスクとなる。

教科書は、まず全体像をきちんと押さえるために用い、不充分な部分は入門書(6割以上の知識であれば、専門書は必要ないかもしれない)で知識の充実を図るというのが、適切な作戦ではないか。

現実に、その教科書が世界を網羅しているかの吟味は、目次が参考になる。ただし、自分自身のなかに、既に世界地図がなければ吟味は難しい。その代用は、本来、試験機関が発表している「試験範囲」になるだろう。もっとも、情報セキュリティに限らず、ITにはトレンドというものがあるから、その部分の補完があればより良いということになる。余裕があれば、その部分はネットや雑誌の見出し(見出しで充分だと思う)でフォローすればいい。

後は受験勉強だが、
 全体の把握 → 対策の必要な部分、不要な部分、補完程度で済む部分の見分け → 知識の補充 → 演習問題で確認(教科書に戻っても良い) → 対策の繰り返し

こんな感じだろう。本試験で「まったく見たことがない」問題が出題される可能性もある。演習問題は最低7割、できれば8割以上の解答(午後問題は解答数ではなく完成度)を目指したい。
posted by tamaso at 22:14| Comment(0) | TrackBack(0) | 受験技術 | このブログの読者になる | 更新情報をチェックする

ウィルス、ファイアウォール、など 〜 ネットワーク関連の情報セキュリティ

東京出張は、帰りの便が雪で1時間45分の遅れ。15分差で「払い戻し」の逃す。それはともかく、時間があったのでセキュリティの入門書で時間を潰すことにした。

ウィルス対策というと、ワクチンソフトということになりそうだが、それは「利用者」の視点。ネットワーク管理者の視点が必要になる。クライアントの定義ファイルの更新のことはもちろんだが、主な侵入経路になる、メールサーバの対策というのも必要。また、最近はHTTPを使ったワームもいる。また、サーバのメモリに常駐するものはファイルの検査では発見できない。対策を考えるには、まず最近のウィルスの攻撃パターンを理解することから始まるわけだ。サーバのパッチ、ポートの設定と監視、といったことにも目を配る。

さて、ファイアウォールであるが、基本はパケットの監視である。ウィルスを見逃す可能性もあるので、プロキシサーバなどで、アプリケーション単位の監視と制御も対応する。ポートは当然コントロールするとして、できれば必要なときだけポートを開く。

それでも、DoSやDDoS攻撃には何の対策にもならないこともある。情報セキュリティ対策は、複合的に対策の展開をする。完璧な方法はない、ということを知る必要もある。
posted by tamaso at 00:43| Comment(0) | TrackBack(1) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2005年12月22日

電車でテキストを読む 〜 情報セキュリティの脆弱性

もともとは、コーヒーショップで腰を据えて、テクニカルエンジニア(情報セキュリティ)試験の受験対策をする予定だったが、残業とかトラブルとか、結局時間が取れなくなってしまった。そういう日もある。

仕方がない。電車では、好きな本や雑誌を読むとか、寝てしまうこともあるが、今日はテキストをぱらぱらと読む。セキュア・プログラミングではなく、脆弱性について。テキストの構成から言うと、冒頭は情報セキュリティアドミニストレータ試験と同じような内容で、「セキュリティとは」とか、「情報セキュリティの3要素」のようなものから始まる。ここは、パスしても分かる。

後半はセキュリティ技術ということで、認証とか暗号、検知システムなどの項目がいくつか続くが、先に「脆弱性」についてまとめた部分を読む。実際には、ネットワーク・セキュリティに限定した内容なので、これは入門書でも間に合う。というか、入門書の方がうまく表現されている。

どうやら、総合的なテキストは「見出し」ぐらいにしかならないので、全体の構成をつかむ目的ぐらいにしか使わず、個別の深堀りは入門書で、仕上げは問題集で、というのがモレのない勉強方法なのだろう。ただし、時間とテキストが増えてしまうのが難点だ。
posted by tamaso at 00:02| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2005年12月21日

Perlは、軽めに済ませそう 〜 セキュア・プログラミング講座

テクニカルエンジニア(情報セキュリティ)試験の、セキュア・プログラミング対策は、IPAの提供する「セキュア・プログラミング講座」をテキスト代わりに使っている。新しい章は、Perlがテーマだ。

この章は、わずか3節。ファイルの操作と危険な関数、それに汚染検出の仕組みの三つ、ということになる。今日はセールスプロモーション講座があるので、軽く見出しだけを整理して、とりあえず全体を大掴みすることにした。

プログラミングに共通するのは、まずは言語を理解しなくてはならないこと。Perlは比較的理解しやすい言語のようではあるが、一方で独特の「クセ」のようなものも感じなくはない。もう少し突っ込んで見ないと分からないが、受験対策というスタンスで臨むのなら、この章は、先に「〜講座」テキストを読んでみて、不明な点は入門書にあたるという方法でも良いかもしれない。

初心者向けのやさしい入門書というより、この場合は、リファレンス的なテキストが良いと思う。ネットにも、この手のテキストはあるようなので、利用してみたい。週末には先の章に進めそうな感じがする。
posted by tamaso at 00:06| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2005年12月20日

セキュアプログラミング(Java編)修了 〜 テクニカルエンジニア(情報セキュリティ)試験対策

日曜日の研究会のツケで、1日遅れの仕上げになった。最終的には、「セキュアプログラミング講座」のまとめ、ということになったのだが、以下のような感じだと思う。テクニカルエンジニア(情報セキュリティ)試験とはいえ、ネットワークとプログラミングの両方のスキルを問うというのは、現場のエンジニアにとっても、試験範囲が未経験の分野に及ぶことになるので、負荷が高い試験になるかもしれない。あるいは、問題を選択式にして、選ぶという構えとも想定できなくもない。情報セキュリティアドミニストレータの延長というわけにはいかないようだ。

さて、少々手間取ったが、総括してしまうと意外とシンプルである。
1.危険なクラスたち
 クラスの悪用に対する警戒がテーマ。システムリソースに対するアクセスや特権が得られるクラスを「特権的処理」に限定し、「一般的処理」には限定的なクラスにとどめる。また、セキュリティポリシーは、きめ細かくパーミッションを見直して、必要最小限の権限を設定する。

2.カプセル化のすすめ
 オブジェクトの基本的なコンセプトは、フィールド・メソッドを保護するという考えに基づくもの。従って、クラスの外部からのアクセスは、必要最小限にとどめる。方法としては、リードオンリーインターフェースを用いると良い。また、クラス・インターフェースの名称は、ソースコードの監査がしやすいものを命名する。

3.シリアル化と情報漏洩
 シリアル化は、本来、ファイルの保存や送受信のための手段で、セキュリティ対策はされていない。情報の漏洩を防ぐためには、出力するフィールドの抑制と暗号化対策が基本。また、RMI、EJB実装の際は、注意が必要(ここは試験の対象外と思うが)。

4.クラス継承となりすまし
 クラス継承として、ポリモーフィズム機能は便利ではあるが、サブクラスとして「なりすまし」のリスクがある。継承が危険なものはfinalクラスによる防御を施す。

5.Javaのアサーション
 アサーション機能は、プログラムの正しさを検証する手段であり、ロジックそのものではない。検証の方法としては「事前条件」「事後条件」「クラス不変条件」のいずれかを意識して行う。

6.synchronizedとレースコンディション
 複数スレッドで共有する資源のアクセスでは、レースコンディション問題が発生する可能性があるが、発見・対策は困難な場合が多い。基本は、synchronizedメソッドにより同期させることは可能だが、処理性能が低下する。多用・乱用は避け、最小限の部分をsynchronized文でガードする方法もある。

ということで、Perlに掛かる。シンプルというより、かなり適当な言語という印象がある。基本は短めにやって、「適当さ」に伴うリスク対策を押さえる、ということになるか。
posted by tamaso at 00:37| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2005年12月18日

「高度情報処理技術者試験」の論文対策に 〜 説得力のある長文を書くための参考書

テクニカルエンジニア(情報セキュリティ)試験には出題されないが、高度情報処理技術者試験を受験する人には、ひとつの難関となる「小論文」。いくつかのスキルを必要とするが、そのなかで、特に「書く」のが苦手な場合には役に立つかもしれない。

合格水準の小論文を書き上げるためには、もちろん、出題されている内容をちゃんとつかむ、というのが前提だ。ここを外すと、どんな論文も合格には至らない。書く前に、何が書かれているか、をしっかりとらえる。

さて、経験があり、アイディアもまとまった。あとは、文章にするだけ、なのにうまく書けない。書くためのスキルの獲得には時間が掛かる。本試験では、もうどうすることもできないだろう。従って、準備段階で練習が必要というわけだ。ただし、困難なことではない。やってなかっただけなのだから、やれば済むという練習だ。

さて、樋口氏といえば、「頭がいい人悪い人の話し方」で有名だが、論文の添削も長くやっている。はじめは200字で、論理的に主張する短文の構成法。何度か書かないと身につかないが、ここまでくると、次は400字。方法は200字の場合と異なる。が、これも難しいことではなく、「型」を憶えて適用させる練習をすれば、やがて身につく。場合によっては、400字でも1時間掛かるかもしれない。が、なれれば、簡単に、論理的な文章が書けるというわけだ。

400字がまとまるようになれば、あとは、2000字でも4000字でも、ネタが増えるだけで構成は同じなので書けるようになる、というわけだ。

書くことは「スキル」だから、学習ではなく練習で身につく。この本は、読むだけでは役に立たない。リンクに価格がないのは、新刊だからだろうが、既に販売されている。


posted by tamaso at 23:18| Comment(0) | TrackBack(1) | 受験技術 | このブログの読者になる | 更新情報をチェックする

2005年12月17日

NONAMEさんへ 〜 テクニカルエンジニア(情報セキュリティ)試験の受験対策について

コメント、ありがとうございます。

今までの試験は、テキストをとりあえずちゃんとやる、問題集で答案練習を繰り返す、パターンでだいたい間に合っていました。実際には、以下のようなガイドラインというか、指標があるので、それに基づいて対策するのが基本なのでしょう。

http://www.jitec.jp/1_00topic/topic_20051031.html

情報セキュリティについていえば、いくつかの階層があり、そのイメージを持って対策に取り組んだ方が、構造的な理解が可能になると思います。

ベースになるのが、「セキュア・プログラミング」と「ネットワーク・プログラミング」ということのようです。その上に階層には、対策技術が並ぶわけです。例えば「暗号」「OSセキュリティ」「ウィルス対策」「セキュリティプロトコル」「認証」などなどです。テクニカルな対策の更に上位には、「セキュリティ運用」「セキュリティマネジメント」がある、と。

知識は、下からの積み上げ式で習得すると、堅牢な知識体系になります。ということで、私の場合、ネットワークだのプログラミングの基礎を、入門書から始めたわけです。技術的なことは、テキストで勉強することで間に合いますが、運用面・管理面のスキルは、より実践的ですから、問題集などで対策するのがいいと思います。

質問にあったデータベースは、午前対策としては押さえておく必要がありますが、午後対策としてはプログラミングの上位、SQLの不正コードチェックとかアクセス権限の奪取についての対策などで関連してくると思われます。
posted by tamaso at 22:02| Comment(10) | TrackBack(0) | 受験技術 | このブログの読者になる | 更新情報をチェックする

明日から、受験対策を再開します 〜 テクニカルエンジニア(情報セキュリティ)試験

システムアナリスト試験の合格者は301名、合格率は約10%だった。

合格率はもちろん受験者のレベルと出題された問題のレベルとの兼ね合いで変化するため、参考値ではあるが、やや高めであったのは事実のようだ。受験者が減少し、合格者が増加しているということは、この試験の「人気」が低下してきたためだろうか。逆に受験者は思い入れを強くしているということも同時にあるような気もする。

さて、次のテクニカルエンジニア(情報セキュリティ)試験だが、先に合格した情報セキュリティアドミニストレータ試験は平成14年と、かなり以前のこと。もっとも、今年は社内でこの試験対策を兼ねた勉強会の講師を10時間以上やったので、多少の知識はリフレッシュできた。準備も含むと倍の20時間ほど。情報セキュリティアドミニストレータ試験の受験勉強をやり直したようなものだ。

現状は、ネットワークやプログラミングの基本を入門書でやや遅いペースの勉強をしたところ。セキュリティに関する知識補充は、まだ足りない感じではあるが、基本が入ると後半のピッチは上がる。年内は、このペースになるだろう。来週からPerlにかかる予定だ。
posted by tamaso at 02:16| Comment(1) | TrackBack(0) | 受験戦略 | このブログの読者になる | 更新情報をチェックする

2005年12月15日

システムアナリスト試験は、これで完了

受験から発表までに2カ月と、ずいぶん長く待たされた合格発表だったが、今日、結果が明らかになった。合格だった。

過去の成績からすると、やや低位の成績だったのには少々不満もあるが、ひとまず安心。これで同じ試験は受けずに済む。とりあえず、過去の試験結果とともに掲載しておくことにしよう。

勉強は中断できるほどの余裕はまだ感じていないのだか、今日・明日は忘年会。テキストは眺めただけということになった。
合格証書(AN).jpg合格証書(AU).jpg合格証書(PM).jpg
posted by tamaso at 23:33| Comment(2) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2005年12月14日

情報セキュリティからみたJavaの、だいたいの意味

テクニカルエンジニア(情報セキュリティ)試験対策として、Javaのパート(セキュアプログラミング)をやってきたが、ようやくメドというか、片付いた感じだ。

見慣れない用語に戸惑っていたが、一通りの入門書学習で間に合ったようだ。今日は、ざっと「セキュアプログラミング講座」を読んだが、どうにか言いたいことが見えてきた。簡単に言うと、どうやらJavaというやつは、構造化とかオブジェクトとか、比較的クラス(プログラム)の独立性の高いプログラミングができるのだが、それでもうっかりすると、変数だのシステムだの機密情報やセキュリティにかかわる部分に、外からやすやすとアクセスできることもある、ということのようだ。

特に、システムへのアクセスと変数(機密情報を含むものやパスワードなど)へのアクセスは、それなりにセキュリティをかける「テクニック」というものがある。要するに、「使用制限」「権限の設定」「限定的な機能」などの方法やコツを仕込んでおく、ということだ。

俄仕込みの知識なので、少々怪しいので、もう一回、今度はさらっと見直しておくことにする。要するに、軽い復習だ。一般論として、知識系の受験対策は「復習」が基本、スキル系(計算問題とかプログラミング)の受験対策は「練習」が基本なのだ。
posted by tamaso at 23:35| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2005年12月13日

テクニカルエンジニア(情報セキュリティ)に関係ない、ウィルス感染の話

夕方あたりから体調がおかしい。風邪を引いたようだ。今週は、週末に忘年会が連続であり、日曜日には「ブランディング」の研究発表が控えている。かなりタイトなスケジュールだ。

とはいえ、こんな具合では集中力もないし、あっさりあきらめて寝ることにする。

今のところ、平日時間配分は、テクニカルエンジニア(情報セキュリティ)試験の受験対策に1時間、マーケティングとブランディングの勉強に1時間、という配分でやってきたが、研究発表が済んだら、しばらくは受験対策にウェイトをおくようにする。

マーケティングは、週一回の講座の受講で間に合わそう。
posted by tamaso at 21:11| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2005年12月12日

Javaと情報セキュリティ 〜 テクニカルエンジニア(情報セキュリティ)対策としてのセキュアプログラミング

セキュアプログラミングに進む前に、Javaのプログラミングの基本を知る必要がある。将棋にたとえると、後者は駒の並べ方や進み方などのルールに関する知識、前者は実践の棋譜ということになるだろう。棋譜を読むには基本を理解しておく必要がある。ただし、将棋よりもルールはやや複雑である。実践向けに、いろいろと機能が増えるのはよくある話だ。

さて、ようやく「インターフェイス」まで学んだ。学んだからといって身についているかは疑問ではあるが、一度はちゃんと学んで、もう一度ざっと復習すれば、セキュアプログラミングの伝えたいことは分かるようになるだろう。

ということで、並行してIPAの「セキュアプログラミング講座 Java編」を少し読み進む。このテキストは、ケーススタディも多少含まれているので、プログラミングの知識があれば意味は理解できる。また、出題者の心理に立てば、どのあたりが「ヤマ」か、想定もできそうに思う。このあたり、問題集があれば、手っ取り早くスキルの程度を確認できるのだが、それは来年の話ということになるだろう。
posted by tamaso at 23:01| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

受験勉強の環境について 〜 テクニカルエンジニア(情報セキュリティ)

テクニカルエンジニア(情報セキュリティ)試験に限らず、過去、いろいろな試験に取り組んできたが、今のスタイルでほぼ落ち着いている。

システム監査は、平成16年と17年の2回、受験したのだが、その時、ほぼ2年前ぐらいから、コーヒーショップを利用するようになった。それ以前、中小企業診断士とか情報セキュリティアドミニストレータ試験の時も、ときどきは利用していたが、常時使うことになったのは、システム監査ぐらいからだ。

最も集中できる環境は「図書館」ではあったが、土日に限られるし、席の確保に苦労することもある。コーヒーショップは、深夜まで営業する店が便利で、だいたいワンセット2時間を目安にしている。集中可能な時間が、1時間ぐらいなので、科目やテキストを変えて2時間という計算。

ざわついた店内なのだが、図書館の物音や話し声ほどは気にならない。かえってざわついた方がBGMのようなものになるのだろう。それでも、昼間は混雑する店も、さすがに夜間は少し空いている。よく見ると、結構、勉強している人が多いのに気づく。これも刺激になる。
posted by tamaso at 00:22| Comment(0) | TrackBack(0) | 受験技術 | このブログの読者になる | 更新情報をチェックする

広告


この広告は60日以上更新がないブログに表示がされております。

以下のいずれかの方法で非表示にすることが可能です。

・記事の投稿、編集をおこなう
・マイブログの【設定】 > 【広告設定】 より、「60日間更新が無い場合」 の 「広告を表示しない」にチェックを入れて保存する。


×

この広告は1年以上新しい記事の投稿がないブログに表示されております。