2005年12月03日

情報セキュリティの視点で見た、セキュアプログラミング

テクニカルエンジニア(情報セキュリティ)は、情報セキュリティアドミニストレータの立場とは異なり、より現場に近い場所で、また、テクニカルなスタンスでアプローチすることが多くなる。

情報セキュリティの対策を考える場合、まずクラッカーなどの手口から考える場合が多い。例えば、自宅のセキュリティなら、空き巣とか悪質セールスの視点で、この家ならどこが弱点かを考え、それから弱点に対策を打つ。また、どうされると「嫌だ」と感じるかということを考えて対策する。

プログラミングの現場は、まず「品質・コスト・納期」、QCDとも言うが、ここをベースに考えて仕事をする(ものだと思う)。品質には、安定性など、若干の「可用性」なども含まれるが、悪意ある第三者の存在は、意識はしていても主眼ではない。

従って、テクニカルエンジニア(情報セキュリティ)としては、クラッカーなら、この製品やプログラム、コンテンツをどう見るか、を知る必要がある。そういう理由であろうが、IPAの「セキュアプログラミング講座」には、手口が紹介されることになる。これは、ある意味、スクリプトキディとか模倣犯を生む危険性もあるのだが、それでも知るべきことではある。

ひととき、クラッカーとして、テキストを読み、それからセキュリティエンジニアに視点を移す。元・空き巣が防犯コンサルタントになるようなものだと思う。
posted by tamaso at 23:53| Comment(0) | TrackBack(1) | 受験戦略 | このブログの読者になる | 更新情報をチェックする

テクニカルエンジニア(情報セキュリティ)試験の受験対策テキストを購入

内容は、情報セキュリティアドミニストレータ試験の対策テキストとかぶる部分もあるが、概ね、技術寄り。

受験対策という意味では、午後1と午後2試験で、合格レベルの解答ができれば良いと言えなくもない。勉強法は、人によってやり方が違っても良いのだが、そのひとつのタイプには、一冊を徹底的に使うというのもある。範囲外の問題には対応できないように思うが、テキストが完全に頭に入れば、それなりの「見識」というものができる。これが「現場対応力」につながることもある。つまり、初めて見る問題でも、解答の方向性がなんとなく見える、ということ。

まあ、根が凝り性なのでこれで済まない、というのが本当のところではあるが。プログラミングと並行して使ってみることにする。問題集は、来年でも良い。

4798110272.09.LZZZZZZZ.jpg
posted by tamaso at 00:35| Comment(2) | TrackBack(0) | 受験技術 | このブログの読者になる | 更新情報をチェックする

広告


この広告は60日以上更新がないブログに表示がされております。

以下のいずれかの方法で非表示にすることが可能です。

・記事の投稿、編集をおこなう
・マイブログの【設定】 > 【広告設定】 より、「60日間更新が無い場合」 の 「広告を表示しない」にチェックを入れて保存する。


×

この広告は1年以上新しい記事の投稿がないブログに表示されております。