2005年12月10日

テクニカルエンジニア(情報セキュリティ)試験対策は、少々焦り気味

今日もJavaのプログラミング。気分的には「寄り道」だ。全体をもう一度おさえておかないと、深みにはまる。

弱点というか、知識の穴埋めは重要ではあるが、全体の中の一部。大切なのは、情報セキュリティエンジニアとしての「見識」であることに違いはない。試験問題もそうなのだが、実践でも情報セキュリティの問題は、知識だけでは解決しない。さらっと、問題文を読んでみて、どこが怪しいかを感覚的に分かる、というの感じが必要だ。

これは、経験があれば「勘」が鋭くなるようなものだろう。知識の適用はその次の段階なのだ。なんとなく「おかしい」と感じて、その次に「なぜおかしいのか」をロジカルに考える。原因が明確になれば、最適な方法論(ツールや対策技術)を選択し、手順どおり導入する。

いま取り組んでいるセキュア・プログラミングについては、基本的な手口とか脆弱性などをまず知識として仕込んで、それから、見識に変えていく。これは本来は実践でやることだろうが、演習問題でも身につく。いまのところ、演習は問題集の発売後だ。
posted by tamaso at 23:09| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

情報セキュリティについての展望を少し

今日はまったく時間がとれず、勉強はおやすみ。で、雑感を。

情報セキュリティについて、ますます関心が高まってきている。そういう実感は、特に今年の4月、個人情報保護法の施行をピークに、多くの人が「どうすればいいのか」という考えを持つようになったように見える。以前には、コンピュータウィルスの度重なる被害の報道もあり、会社でも現実に業務に影響が出るほどの事件となったし、それもたびたびというありさまだった。

事故に対して、あるいは、法律に対応する場合など、個別の事象についてその都度、対策を考えて社内に徹底するというのは、いわゆる「後追い」であって、リスクは高い。社内に情報セキュリティのエキスパート、アドバイザーが、強く求められてきていると思う。

そもそも情報セキュリティに関する知識を体系的に習得しようとする場合、テクニカルエンジニア(情報セキュリティ)試験や、情報セキュリティアドミニストレータ試験など、これらに対応したテキストが実は使いやすい。網羅的であって、少し深さが足りないと感じることもあるが、全体をつかんでいることが重要だ。細かなこと、専門的なことは、必要な場合に補充しても間に合う。これは、何も対策しない状況で事故が起こってから対応するのとは意味が違う。事前に対策の方針が立てられ、どこで詳しい知識を補充すればよいかを、余裕をもって考えられる。

もちろん、知識やスキルだけではなく、問題点の発見や本質を見抜くこと、対策の優先順位を見通せること、などなど、それなりに現場対応力は必要ではあるが、出番はいくらでもあると思う。広範囲なジャンルだけに、一旦獲得できれば、自分自身の強みになるはずだ。
posted by tamaso at 01:24| Comment(0) | TrackBack(0) | 雑感 | このブログの読者になる | 更新情報をチェックする

2005年12月08日

「継承」を少しだけ〜とりあえず、テクニカルエンジニア(情報セキュリティ)試験のためにJavaのプログラミングを勉強

新製品のデビューとか、地元自治会の会報のリニューアル、来週の勉強会での発表準備、更には忘年会と、ここに来て時間が取れなくなってきた。それでも、悪あがきでも、少しはやっておく。

勉強は、単に知識やスキルの習得が目的ではなく、環境の維持というか、要するに休まずに続けることにも意味がある。それは、「続けている」ということを脳に思わせるということになるからだ。中小企業診断士の受験勉強中に、講師からそういうことを聞いたことがある。仮に酔って帰る電車の中であっても、1日1回はテキストを開いて、読む格好だけでも続けておくと、本当に必要なときに、すぐに勉強できる体勢ができるらしい。

これは、今やっているテクニカルエンジニア(情報セキュリティ)試験だけでなく、情報セキュリティアドミニストレータ試験でも、システムアナリスト試験でも、基本的には同じだと思う。忙しい時期もあるが、時間が充分に取れるときも必ずくるはずだから、そのときの時間を無駄にしないために、格好だけでも続けておくというわけだ。

ということで、クラスの継承、という部分を少しだけ書き取った。
posted by tamaso at 23:37| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2005年12月07日

ようやく「らしく」なってきた、Javaの勉強 でも、テクニカルエンジニア(情報セキュリティ)らしくはない

来週末の研究会で発表する「ブランド戦略」のネタの仕込みがあり、今日のテクニカルエンジニア(情報セキュリティ)対策の勉強は1時間ほど。しかも、セキュリティではなく、プログラミングのほう。

ようやくクラスとかメソッドなどが言葉として理解できてきた、という状態で、果たして試験に間に合うのかどうか。少なくとも、試験の範囲はプログラミングなどは、ほんの一部分だ。とはいえ、乗りかかった船、入門書は一冊分、最後までは付き合うつもりだ。

今日、片付けたのは、オーバーロード、静的変数・メソッドなど、それに関数ぐらいか。このあとにはまだもう少しJavaらしい用語とテクニックがあるようだ。なんとか、週末までに仕上げて、セキュリティは一気に済ませたい。

年内にPerlまで仕上がれば、まあいいという感じだが、それでもやや遅れ気味ではある。情報セキュリティアドミニストレータ試験の時も、結局、最後に追い込んだような気もする。
posted by tamaso at 23:58| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

テクニカルエンジニア(情報セキュリティ)対策は、Javaの学習効果が少しあり

今日は、マーケティング講座があり、腰をすえた勉強はできず。テクニカルエンジニア(情報セキュリティ)対策としては、セキュアプログラミングに偏りすぎの感はあるが、受験対策の正念場ということで何とかしのぎたい。情報セキュリティアドミニストレータ試験の受験のときも、基準とか法律とか、マネジメント関連に苦労したことがあった。

さて、引き続きJavaには違いないが、今日はテキストをざっと通して眺める感じで読んだ。少しは入門書の効果があったと見えて、以前より理解できる部分が増えていた。実際の受験対策としては、こんなものでは足りないのだが、意味がないわけではない。

勉強を続けていると、ダレる頃がある。脳が飽きてくるのかもしれない。そういうときは、例えば、やや簡単な問題に取り組んでみるとか、以前は手強いと感じた項目を読み直してみるといい。少なくとも、勉強を続けていれば、以前より理解度が進んでいるはずだ。前に見たときよりは、やさしく感じる。その「気分」が大切で、これがまた続けるための刺激になる。

情報セキュリティは、守備範囲が広いので、なかなか捗った気がしないので、こういうことで進捗を実感するというのも良いと思う。
posted by tamaso at 00:52| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2005年12月05日

情報処理技術者試験の午後試験について

テクニカルエンジニア(情報セキュリティ)試験に限らず、一部の科目を除くと、情報処理技術者試験は、午後が「記述式」になる。記述式、というより、読解式と言ってもいい。

中小企業診断士試験では、二次試験が同様に記述式だが、こちらは80分で600字とか800字とか、とにかく字数が多いのだが、情報処理技術者試験では比較的短く、20字から60字程度。実は、この文字数では書くことが限られるのでごまかしは利かない。とはいえ、書く時間は短くて済む。ポイントを絞れるか、が課題だ。

実際、一つの問題に7、8問ほどの設問しかないわけで、6割以上の得点を得ようとすると空白があるとかなり難しい。完全な解答を6割以上狙うより、6割以上の内容の解答を全部の設問で狙う方が、合格にはより近いと思う。

システムアナリストやシステム監査の午後1の試験は、知識よりも思考力がものを言うが、テクニカルな科目になると、やはり適用できる技術的な知識の量が必要になってくると思う。情報セキュリティアドミニストレータだと、その中間か。今、取り組んでいるテクニカルエンジニア(情報セキュリティ)だと幅広く、やや深く、というのが目標だろう。

具体的には、得意な分野はテキストをざっと読んでみて、知識を構造的に組み上げる。記憶を確かなものにするわけだ。そして、苦手な部分や知識の不足する部分は、テキストで読んでも分からない部分を抽出(ノートにキーワードを書き出すなど)して、入門書などで補強する。テキストに書かれてある用語や文章の意味が取れるぐらいにはしておく必要があるだろう。

弱点が多いということは、それだけ多くのことを憶えなくてはならないということ。当然、時間管理もよりシビアになる。場合によっては、「見切る」必要もあることになる。
posted by tamaso at 23:54| Comment(0) | TrackBack(0) | 受験技術 | このブログの読者になる | 更新情報をチェックする

情報処理技術者試験の午後試験について

テクニカルエンジニア(情報セキュリティ)試験に限らず、一部の科目を除くと、情報処理技術者試験は、午後が「記述式」になる。記述式、というより、読解式と言ってもいい。

中小企業診断士試験では、二次試験が同様に記述式だが、こちらは80分で600字とか800字とか、とにかく字数が多いのだが、情報処理技術者試験では比較的短く、20字から60字程度。実は、この文字数では書くことが限られるのでごまかしは利かない。とはいえ、書く時間は短くて済む。ポイントを絞れるか、が課題だ。

実際、一つの問題に7、8問ほどの設問しかないわけで、6割以上の得点を得ようとすると空白があるとかなり難しい。完全な解答を6割以上狙うより、6割以上の内容の解答を全部の設問で狙う方が、合格にはより近いと思う。

システムアナリストやシステム監査の午後1の試験は、知識よりも思考力がものを言うが、テクニカルな科目になると、やはり適用できる技術的な知識の量が必要になってくると思う。幅広く、やや深く、というのが目標だろう。

具体的には、得意な分野はテキストをざっと読んでみて、知識を構造的に組み上げる。記憶を確かなものにするわけだ。そして、苦手な部分や知識の不足する部分は、テキストで読んでも分からない部分を抽出(ノートにキーワードを書き出すなど)して、入門書などで補強する。テキストに書かれてある用語や文章の意味が取れるぐらいにはしておく必要があるだろう。

弱点が多いということは、それだけ多くのことを憶えなくてはならないということ。当然、時間管理もよりシビアになる。場合によっては、「見切る」必要もあることになる。
posted by tamaso at 23:52| Comment(0) | TrackBack(0) | 受験技術 | このブログの読者になる | 更新情報をチェックする

2005年12月04日

テクニカルエンジニア(情報セキュリティ)試験対策で、もう少しだけJavaの基本をやる

ようやく「構造化」の入り口ぐらいが分かりかけたぐらいだと思うが、とりあえず、セキュアプログラミングに行くまでに、もう少しだけJavaをやっておく。

セキュリティには直接関係はないのだが、例えば、情報セキュリティアドミニストレータ試験など、他の情報処理技術者試験にも、この「構造化」とかに関する問題が出題される。午前の試験では、おなじみの問題というところだろうか。とはいえ、せいぜい2問かそこらなので、いい加減に憶えていてもなんとかなった。

しかし、セキュリティというか、プログラムの安定性を考えると、この構造化はうまく使えばプログラムを堅牢にしやすい。プログラムをいじると、通常は全体的に影響が及ぶことがある。直しても直しても、次々と不具合が出てきて、気づくと制作者も中身が分からない、ということになる場合もある。

プログラムを部品にして、部品の機能を限定する。変数も引数として受け渡しするもの以外は、局所的に使う、こういう思想は正しいと思う。これとセキュアプログラミングとのかかわりは、次の段階で勉強する。
posted by tamaso at 22:32| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2005年12月03日

情報セキュリティの視点で見た、セキュアプログラミング

テクニカルエンジニア(情報セキュリティ)は、情報セキュリティアドミニストレータの立場とは異なり、より現場に近い場所で、また、テクニカルなスタンスでアプローチすることが多くなる。

情報セキュリティの対策を考える場合、まずクラッカーなどの手口から考える場合が多い。例えば、自宅のセキュリティなら、空き巣とか悪質セールスの視点で、この家ならどこが弱点かを考え、それから弱点に対策を打つ。また、どうされると「嫌だ」と感じるかということを考えて対策する。

プログラミングの現場は、まず「品質・コスト・納期」、QCDとも言うが、ここをベースに考えて仕事をする(ものだと思う)。品質には、安定性など、若干の「可用性」なども含まれるが、悪意ある第三者の存在は、意識はしていても主眼ではない。

従って、テクニカルエンジニア(情報セキュリティ)としては、クラッカーなら、この製品やプログラム、コンテンツをどう見るか、を知る必要がある。そういう理由であろうが、IPAの「セキュアプログラミング講座」には、手口が紹介されることになる。これは、ある意味、スクリプトキディとか模倣犯を生む危険性もあるのだが、それでも知るべきことではある。

ひととき、クラッカーとして、テキストを読み、それからセキュリティエンジニアに視点を移す。元・空き巣が防犯コンサルタントになるようなものだと思う。
posted by tamaso at 23:53| Comment(0) | TrackBack(1) | 受験戦略 | このブログの読者になる | 更新情報をチェックする

テクニカルエンジニア(情報セキュリティ)試験の受験対策テキストを購入

内容は、情報セキュリティアドミニストレータ試験の対策テキストとかぶる部分もあるが、概ね、技術寄り。

受験対策という意味では、午後1と午後2試験で、合格レベルの解答ができれば良いと言えなくもない。勉強法は、人によってやり方が違っても良いのだが、そのひとつのタイプには、一冊を徹底的に使うというのもある。範囲外の問題には対応できないように思うが、テキストが完全に頭に入れば、それなりの「見識」というものができる。これが「現場対応力」につながることもある。つまり、初めて見る問題でも、解答の方向性がなんとなく見える、ということ。

まあ、根が凝り性なのでこれで済まない、というのが本当のところではあるが。プログラミングと並行して使ってみることにする。問題集は、来年でも良い。

4798110272.09.LZZZZZZZ.jpg
posted by tamaso at 00:35| Comment(2) | TrackBack(0) | 受験技術 | このブログの読者になる | 更新情報をチェックする

2005年12月02日

システムアナリスト試験の答え合わせ

昨日公開された、情報処理技術者試験の高度に属する午後の解答例。テクニカルエンジニア(情報セキュリティ)は、この時点ではもちろん何もないし、サンプル問題は現在も解答例の公開はない。あるのは、情報セキュリティアドミニストレータの方、ということになる。

解答例は以下にある。因みに、昨年のプロジェクトマネージャ試験が合格していたので、午前はその恩恵で、免除である。
http://www.jitec.jp/1_05goukaku/kaitourei.html

さて、既に一カ月半も以前になったが、システムアナリスト試験を受験していたので、一応、答え合わせをしてみたい。ずいぶん前になってしまって、記憶にはあまり残っていないが、記録はしてあった。下の記事である。午後2は、割と憶えているようだ。大半が「オリジナル」ということもあるのだろう。午後1は、さすがに細かな部分は飛んでるし、また、その部分が採点の機微というか、点差になると思う。

午後1
http://tamaso-s.seesaa.net/article/8222351.html
午後2
http://tamaso-s.seesaa.net/article/8230092.html

結果については、今更どうこう言っても取り返せるわけではないし、実際には答案は試験当日の答案用紙回収時点で確定しているのだから、結果はすでに決まっているのだが。

経験から言うと、不思議な合格はあっても、不思議な不合格はない。落ちたときは、自分で、大体の理由が分かるものだ(分からないと、これは深刻)。
posted by tamaso at 00:38| Comment(0) | TrackBack(0) | 雑感 | このブログの読者になる | 更新情報をチェックする

2005年12月01日

情報処理技術者試験の一番効率的な学習方法は、書くことかも知れない

かなり睡眠不足がたまってきていて、テキストを読むのが辛い。テクニカルエンジニア(情報セキュリティ)試験からは少し遠い、プログラミングの足場固めだが、さすがに読んでいても頭に入らないので、書くことにした。

対象は、Javaの基本を最初から。テキストでいうと三分の一ぐらい、ポイントを1時間ほど掛けてノートに書き取る。書くと、一応、要点がどこかがよく分かるのと、手を動かすことで眠気も去る。

ということで、構文の基本はざっと頭に入ったようだ。自らプログラミングするのが目的ではないので、この程度でもいいと思う。明日は、この感じで「構造化」のポイントをまとめることにする。ここが分かれば、もう一度、セキュアプログラミング講座に戻る。

今日は、システムアナリストの解答例が公開された。情報セキュリティアドミニストレータ試験の午後の試験の解答例も同様に公開されたが、いずれ詳細に見てみたい。
posted by tamaso at 00:05| Comment(0) | TrackBack(0) | 受験技術 | このブログの読者になる | 更新情報をチェックする

広告


この広告は60日以上更新がないブログに表示がされております。

以下のいずれかの方法で非表示にすることが可能です。

・記事の投稿、編集をおこなう
・マイブログの【設定】 > 【広告設定】 より、「60日間更新が無い場合」 の 「広告を表示しない」にチェックを入れて保存する。


×

この広告は1年以上新しい記事の投稿がないブログに表示されております。