2006年01月30日

Web技術について勉強する 〜 テクニカルエンジニア(情報セキュリティ)試験対策

問題集をやっつけていると、解説だけでは腑に落ちない部分というものがたまに出てくる。Web技術については、インプットの時に流し気味にやったこともあり、今日はその部分の補強。

WWWは、インターネットの革新だったが、なにぶん基本的な技術が古く、セキュリティやセッション管理は、今の状況には充分対応し切れていない。例えば認証について。
・基本認証〜そもそもHTTPの機能としてある認証だが、ユーザー名もパスワードも平文でネットを通るので、簡単なセキュリティにしかなっていない。
・チャレンジ&レスポンス認証〜ユーザーの認証をチャレンジとレスポンスという、固有のデータのやり取りをもって、認証する方式。
・SSL認証〜通信の暗号化を目的に、事前にサーバとユーザーの認証を第三者である認証局の発行する証明書で行うもの。

このほかにもクッキーによるセッション情報のやりとりや、HTTPのやりとりにおけるメソッドの種類や目的などを少しやる。また、スパイウェアについての知識も入れる。キーロガーやクッキーによるユーザーの行動のトレースなどは、必ずしも悪意を伴うものではないが、悪用も容易に可能だ。出題されるとしたら、どのような感じになるか、そのあたりは特に意識しなかったが、そういう視点が持てれば、というか、実践の場でどういう技術活用をするかの視点で見れば、正解に近づくことができるだろう。
posted by tamaso at 23:13| Comment(0) | TrackBack(1) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2006年01月29日

午後1問題(セキュリティ技術) 〜 テクニカルエンジニア(情報セキュリティ)試験対策

問題集による、午後1問題対策は、「セキュリティ技術」の章に入った。おそらく、ここの部分が試験の最重点分野になるものと思う。

今回は、VPNがテーマ。VPN装置を用いたときに、パケットのヘッダにあるIP情報がどういう変化をするか、暗号化とハッシュ値の目的、NATを使ったときの不具合の原因、などが設問として出されている。VPNの基本的な仕組みが理解できているかどうかが問われる問題だ。

通信のセキュリティについて言うと、機密性・完全性、つまり、盗聴と改竄の対策が基本になるが、実はそれだけではない。送る相手が正しい相手か、届いたデータが正しい相手からのものか、これについても検証する必要がある。NATは、簡単に言えば、相手側から自分を隠す技術であるから、これを用いると、通信内容の認証はできなくなる。あとは、それらが、どのような仕組みで隠されたり、不具合となるかを知ることだ。

サンプル問題のレベルをひとつの基準として見ると、問われる内容は、ある程度「理解」をしておかないと解答できない内容のようだ。問題集で弱点をつかんだら、教科書ではやや足りない。入門書で押さえておくことにする。ネットの知識でも間に合うとは思うが。
posted by tamaso at 20:32| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

フィッシング詐欺 〜 テクニカルエンジニア(情報セキュリティ)試験対策

問題集から、出版社オリジナルの問題。テーマは「フィッシング詐欺対策」だ。

設問は、SSLも含めて、フィッシング詐欺の基礎知識のような問題だ。そもそも、どのような被害があるのか、とか、どういう手口か、とかである。そのほか、ファーミングの手口にも触れている。

フィッシングについては、現実の社会でも深刻な問題になりつつある。去年だと「個人情報保護法」がらみは重要案件であったが、今年は、このあたりがヤマにはなりそうだ。

クロスサイトスクリプティングとかバッファオーバフローとか、セキュリティの定番のテーマというものは、あると思う。フィッシング詐欺は、いくつかの攻撃パターンと脆弱性の組み合わせでできる。ソーシャルエンジニアリングもからむ、やや複雑な仕組みが、巧みに利用されるわけで、試験問題としても作りやすいと思う。

出題者の視点で見ると、1問はフィッシング、あと、プログラミングあたりを入れておきたくなるのが最近のセキュリティの現場ではなかろうか。
posted by tamaso at 01:42| Comment(0) | TrackBack(0) | 受験技術 | このブログの読者になる | 更新情報をチェックする

2006年01月27日

セキュアプログラミングのキモ 〜 テクニカルエンジニア(情報セキュリティ)試験対策

今日はカバンが重くなるので問題集は持ち出さず、IPAの「セキュアプログラミング講座」を久々にやる。OSの対策は後回しにして、第10章、最終章の「より堅固なソフトウェア構築」である。

http://www.ipa.go.jp/security/awareness/vendor/programming/b10.html

この章、セキュアプログラミングの最も本質的な部分を語っている。テクニカルな部分は別の章になるが、「まず、ここを押さえろ」という内容だ。ポイントはふたつ

1.モジュール間のデータの受け渡し「インタフェース」のリスクに注目する
2.ソースコードは安全性の検証されたものを再利用するのが基本

インタフェースは、データの露出や意図しないデータの混入、強力な処理エンジンの副作用の危険性がある。具体的な例をあげると、URLによるデータの受け渡しや、SQL文へのパラメータの引継ぎ、open文、system関数などの取り扱い、などである。既にこれらは、他の章で詳しく解説されている。

また、ソースコードを新たに作成することは、軽く考えてはいけない、と。新たなコードはバグが混入するリスクが極めて高い。レビューは、開発者の視点での確認だけでなく、セキュアな視点での確認、バグ出しが必須である。できれば、優秀なプログラマによる安全で汎用的なモジュールを作成し、充分な検証の後、ライブラリに登録すると良い。

1.と2.は、それぞれ、データに関する脆弱性とプログラミングに関する脆弱性に関わる問題だ。受験対策として言うなら、ここの部分が与件にあれば、「要注意」ということになるのだ。
posted by tamaso at 23:24| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

電子メールシステムの運用 〜 テクニカルエンジニア(情報セキュリティ)試験対策

平成14年・NW午後1試験 問4
本試験の与件は、最初の行にテーマが書かれている。この一行、与件を読む際に重要なポイントとなることもある。

例えば、情報セキュリティの試験で、「電子メールシステムの運用に関する次の記述を読んで…」とあれば、問われるであろう内容がかなり絞れるはずだ。このあと、与件は、ざっと斜め読み(または見出しと図表のタイトルだけ読む)して、設問を読む。これで、与件の内容が予測でき、何にフォーカスして読めばよいかが決まる。

さて、今回はNW試験の過去問、それも「運用」に関する問題である。情報セキュリティの答練としては、やや焦点が外れているが、与件整理と関連知識ということで取り組む。内容は、ヘッダに関する基本的な知識、メールシステム運用の基本的な留意点、サーバに対する負荷の分散、など。運用面で言えば、実践を意識した問題という感じがする。

セキュリティに関しては、運用のミスによる情報の流出の防止、過負荷などから可用性を維持する方法、あたりだが、テクニカルとは言いがたい内容。もっとも、出題者の問題ではなく、なぜこれを掲載したか、の問題である。
posted by tamaso at 00:24| Comment(2) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2006年01月25日

問題集でSQLインジェクションにかかる 〜 テクニカルエンジニア(情報セキュリティ)試験対策

テクニカルエンジニア(情報セキュリティ)試験対策は、主に問題集を中心に今は取り組み中。今日は、午後1問題で、SQLに関するセキュリティだ。出版社制作のオリジナル問題である。

WEBで入力フォームを表示し、Javaプログラムを経由してデータベースにアクセスするという、ごく一般的な例である。与件にあたる問題文は、ソースコードや説明用のSQL文などもあって、異常に長い。まるで、研修用に作られたセキュリティ対策ビデオのような内容だ。上司のS課長が、担当のK君にさまざまなケースで注意を与えるというもの。

設問は逆にシンプルで、これも考えて解くというより、穴埋め問題に近い。あるいは、英語の教材に見られるような、「主語をyouからweに変えると、この文はどう変わりますか」のような感じの設問だ。どちらかというと、ガイドブックの内容を虫食いにした、というのがぴったりするかもしれない。

本試験では、ページ数のことや設問の難易度、スキルが試せる内容、というあたりを考えると、こんな感じにはならないとは思う。が、教科書を何冊が見たが、この例題に及ぶような、具体的な解説をしたものが見当たらない。強いてあげるなら、IPAの「セキュアプログラミング講座」が最も近い、というか、こちらの方が「デキ」が良い。

いずれにしても、出題の形式は「実践型」の内容になる。理論の押さえと、実践の対応力、両方のレベルアップはしておく必要がある。
posted by tamaso at 23:46| Comment(0) | TrackBack(1) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2006年01月24日

過去問のジレンマ 〜 テクニカルエンジニア(情報セキュリティ)試験対策

受験対策も後半になると、過去問を実際に解いてみて、弱点の認識や本試験の感覚をつかむことをする。本試験の問題に最も近いものは、過去問だからであるが、今回のように新制度の試験の場合は、同類の試験(例えばネットワーク)から関連するものを選び(と言っても、これは問題集の発行元が行う)、解答することになる。

jitecの試験、という意味では、過去問は試験の難易度、与件・設問の分量、図表の用い方などが本試験と同じレベルに揃っているため、感覚をつかむためには最適といえる。ただし、当然のことだが、試験科目が異なれば、試すスキルが異なるため、関連しない設問も含まれることになる。また、逆に不足する分野も出てくるだろう。

知識として、範囲外のものがインプットされたところで、害にはならないし、本試験でそれが解答の助けになることはよくある。あとは時間的・経済的に取り組むかどうかを判断すればいい。また、過去問による「答案練習」には、知識・スキルの定着以外に、解答技術や与件整理力(国語力といっても良い)の強化という狙いもある。

過去問に取り組むときには、なかなか意識して区別はできないが、知識・スキルの定着か、与件整理の練習か、字数どおり書く練習か、など、目的を意識したほうがよいだろう。
posted by tamaso at 23:56| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2006年01月23日

セキュアな開発環境について 〜 テクニカルエンジニア(情報セキュリティ)試験対策

テクニカルエンジニア(情報セキュリティ)試験、特に午後の試験では、もちろんセキュリティに関する技法・手法の適用スキルを試すことが中心になる。が、それだけではない。セキュアな開発環境の整備は、情報セキュリティアドミニストレータではなく、テクニカルエンジニアの担当になるとも考えられる。従って、受験対策は、念のため押さえておいたほうがよいだろう。

そんなに多くの内容を含んではいない。以下のサイトを参照する。

http://www.ipa.go.jp/security/awareness/vendor/process.html

設計、プログラミング、テスト、設定(実装時)に関する留意点を紹介している。通常、セキュリティ対策は、脅威・脆弱性の認識 → 原因の特定 → 対策(この場合基本方針のようなもの)の実施 となる。

本件についていえば、例えば設計段階では、原因を「複雑性」としている。この視点は、他のセキュアプログラミングの書籍でも指摘されている。システムは、プログラミングによって、柔軟に機能を実装できるのだが、現在のようにチームというか、大人数で開発している場合、全体を統括する「方針」や「ルール」などが必要である。この例で言えば、「ウォーターフローモデル」や「スパイラルモデル」、「エクストリームプログラミング」などがあげられている。

システムの開発は、上記のようにいくつかのプロセスを経て導入されるのだが、それぞれのプロセスにおいて、弱点や原因、対策手法などを知る必要がある。
posted by tamaso at 22:49| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

無線LANのセキュリティ 〜 テクニカルエンジニア(情報セキュリティ)試験対策

今日はほとんど時間のない日だったが、とりあえず、何かやっとく。アイタック問題集、午後1問題(問1−3)、これは過去問ではなく同社のオリジナルだ。

問題の創作は、作問者の力量がはっきりと現れる。問題の形式が午後問題になっていても、内容が午前問題の内容(要するに知識レベルを問う問題)になっていたり、対話(上司と部下、クライアントとエージェントなど)の内容が説明的であったりするのは、つまり「こなれていない」ためだと思われる。今回もその傾向は読み取れる。

しかし、だからこの模擬問題が無意味かというと、実は全然そんなことはない。知識のインプットは、主に教科書を用いて行うため、各用語、各手法が、順次頭に入っていくのだが、それぞれの関連性はゆるやかなものとなる。ネットワークやセキュリティの入門書だと、より実践的な内容になるので、知識の整理はやや煩雑になるが、用語や手法の関連性はやや強くなる。

セキュリティの手法の進化は、こういうものかと思う。やや独断的ではあるが。
脅威 → 対策 → 脆弱性の露見 → 新たな脅威 → 対策の改善 → 新たな脆弱性 → …
技術を学ぶことは、歴史を学ぶことでもあるのだが、それは技術や脅威の「流れ」をつかむことだとも言える。

さて、この例題だか、テーマは無線LANのセキュリティ技術に関する問題である。用語は選択問題になっており、やや易しく作られてあったり、やや教科書的な対話という点はあるが、知識の整理には充分役立つ。この通りに出題されることを期待してはいけないと思うが、この内容がきちんと頭に入れば、本試験では、あとは「国語力」だけで勝負できることになる。ちなみに、国語力は「本物の」過去問で鍛えるのが効率的だろう。これは、この問題集にもふんだんにある。問題を構造化するのだが、その際は時間を気にせずに、ノートなどに「構造的」にまとめることから始めると良い。
posted by tamaso at 00:47| Comment(2) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2006年01月21日

プロトコルを少しだけまとめてみる 〜 テクニカルエンジニア(情報セキュリティ)試験対策

ネットワーク系のセキュリティだと、多数あるプロトコルに関する知識が必要になる。聞きなれない(見慣れない)プロトコルも次々と出てくるので、とりあえずざっとインプットしてきたが、一度まとめておかねば、と思っていた。

ということで、今日はほとんど時間が取れなかったが、セキュアプロトコルを一通り書き出してみた。現実には書き出しただけでは身についた感じがしない。セキュアはセキュアで、また、階層ごとに整理して、参照しながら勉強したほうがいいかもしれない。

プロトコルは、そのほかに特徴とか目的とか、弱点、ほかのプロトコルとの組み合わせなどの関係で理解する必要があるようだ。
posted by tamaso at 23:13| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

テキスト選びについて 〜 テクニカルエンジニア(情報セキュリティ)試験対策

今日は「新年会」の名目で飲み会。勉強時間がとれなかった。ということで、適当に考えを書いてみる。

受験対策は、おおむね次のような目的で行うのではないかと思う。
1.合格に必要な知識で、現在不足している把握と補充
2.どの知識をどの場面、どの状況で適用すると良いかを学ぶ
3.時間内に解答できるだけの受験技術の獲得

ということであれば、1.に関しては出題範囲を確実に網羅していて、できれば「深さ」もあるテキストがふさわしい。ただし、「苦手」な部分が自分で把握できれば、教科書でなくとも、入門書でもインターネットでも、他の科目で使ったテキストでも間に合うものはいろいろあるだろう。

テキストをしっかり読む、ということは、知識のインプットの際には必要だが、「どこがわかっていないか」を把握するだけなら、ざっと目次から本文の斜め読みでも可能だ。このとき、テキストそのものに「穴」というか、範囲の抜けがあると、自分の弱点に気付かないままに本番を迎えることになってしまう。苦手・不足部分が分かれば、あとはしっかりインプットする。

さて、2.はどうか。よくできた問題集か、過去問(新設の試験は類似の過去問)を、「ゆっくり」解いてみるといい。過去に「小論文」が必要な試験を受けたこともあるが、実は、過去問(午後1)の内容がそのまま使えるということもあった。過去問は、知識を実践に適用する良い事例集だとも言える。残念ながら、ここは教科書ではなかなか間に合わない。

ここまでが、本来必要な知識・スキルの獲得方法になるのだと思うが、3.については、スポーツのようなものだから、今度は同じ問題でもいいが、時間を計って本試験環境で解答する。文字数もこのときに感覚をつかむことになる。

いずれにしても、受験勉強中は「まだ足りない」状態なのだから、点数というか、解答の「でき」についてあまり神経質になる必要はないと思う。むしろ、どこが不明でどこが明確になったかを、客観的に把握することが重要かと思う。
posted by tamaso at 01:09| Comment(0) | TrackBack(0) | 受験技術 | このブログの読者になる | 更新情報をチェックする

2006年01月19日

C++のセキュリティ対策はとりあえず終了 〜 テクニカルエンジニア(情報セキュリティ)試験対策

IPAのセキュリティセンターが提供している「セキュアプログラミング講座」第6章はC言語がらみ。一通り読み終えた、と言うレベルだ。

概ね、BOF攻撃と、リソースの確保と解放の仕組み、それからsytem()関数の注意点、というところ。今まではプログラミングでもネットワーク関連が中心であったが、今回のC言語からはローカル、テキストでは「製品」と書いてあるが、のセキュリティ対策ということになる。

基本の基本としては、情報セキュリティのCIA、すなわち、機密性・完全性・可用性を守る、という視点で考えるわけで、システムの機密性・完全性については、攻撃を介して管理者権限を奪われたり、データの破壊や書き換え、などに対応する。また、可用性については、予期せぬ障害というか、リソースの解放がうまく行われずにシステムが停止するということもあるようだ。このあたりは、プログラミングのテクニックとして対策の手法が紹介されていた。

大意はつかめたが、CやC++の構文・関数などは再度テキストで押さえておこうと思う。
posted by tamaso at 23:18| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2006年01月18日

引き続き、BOFなど 〜 テクニカルエンジニア(情報セキュリティ)試験対策

テクニカルエンジニア(情報セキュリティ)試験対策ということで、少々散漫になっているが、以下のメニューに並行して取り組んでいる。


・午前対策 数と回数が勝負。傾向的にできない部分は教科書で補強。
・午後対策 知識がスキルとして定着しているかを確認。終盤には、時間を計測して解答技能も磨く。
・知識補充 セキュアプログラミングはまだインプット段階を抜けていない。書いて憶える。

まあ、こんな感じだが、今週は忙しい。今日も、なんとか1時間を確保したが、なかなかはかどらない。BOFの仕組みとか実際の攻撃手法などを知る。C言語は不慣れではあるが、テキストの解説は意味として理解はできる。Javaと感じが似ているからだろうか、イタリア語とスペイン語、みたいな感じだ。

今週末は、これもまた予定がびっしりで、まとまった時間がとれない。隙間時間を捻出する、というのも方法なので、とりあえず「ここまでやる」ぐらいの目標が必要だろう。
posted by tamaso at 23:54| Comment(3) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2006年01月17日

バッファオーバーフロー 〜 テクニカルエンジニア(情報セキュリティ)試験対策

今日は、時間がなくて15分だけ。セキュアプログラミング講座の「バッファオーバーフロー」を読み始める。

使われている言語はC++ということだが、いまのところ構文というより、上記の攻撃のメカニズムを説明するための手段、という感じだ。とはいえ、この手の脅威・脆弱性を語る場合、JavaではなくCが使われているようだ。プログラミングに対する脅威は、これだけではなく、コードインスペクションやリバースエンジニアリングもある、とのこと。また、Web上のアプリケーションの弱点を巧みに悪用すると、データベースの不正アクセスはもとより、システムの乗っ取りも可能になる。概ね、ネットワークから侵入、あるいは、ネットワーク経由で攻撃することが多いのだが、そのなかで、BOFに関しては、そもそもCの性質上の脆弱性ともいえるようだ。

試験対策というスタンスで考えるのなら、まず、BOFの仕組み、特徴、対策方法などをおさえるというのがセオリーかと思う。明日も出張なので、時間の捻出には少々苦労することになりそうだ。
posted by tamaso at 23:36| Comment(2) | TrackBack(1) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2006年01月16日

受験申し込み開始 〜 テクニカルエンジニア(情報セキュリティ)試験

IPAから、受験の申し込み開始の通知のメールが届いた。受け取るまでもなく、今日が申し込み開始日であることは知っていたし、申し込みもさきほど済ませた。自信があっても、あまりなくても、とにかく申し込みを済ませて腹をくくる。

問題集に本格的に取り組むのは、まだこれからという感じだから、弱点のあぶり出しも充分できてない。テキストによるインプットで不足している部分は、入門書で補充することになるが、これも「モザイク」のようで、ワンストップでは間に合わない。

さしあたり、ネットワーク関連ではプロトコルの総括、プログラミングではBOFがらみでC++あたりから。もっとも、アウトプット重点になるので、7割は問題集ということになる。
posted by tamaso at 23:21| Comment(2) | TrackBack(0) | 雑感 | このブログの読者になる | 更新情報をチェックする

2006年01月15日

「知識だけじゃ受かりません」の意味 〜 テクニカルエンジニア(情報セキュリティ)試験

IPA・情報処理技術者試験センター長 澁谷隆氏が下記のインタビューで答えた言葉である。また、情報処理技術者試験委員 杉野隆氏は「合格には幅広い知識に加え、経験と実践能力が必要。教科書のみの学習で受かってほしくない。実際の技術力を持っている人に受かってほしい」とも言う。

http://www.atmarkit.co.jp/news/200601/14/ipa.html

しかし、新設になるこの試験だけではない。現実には過去の試験においてもこれはあった。例えば、平成14年秋・SS午後1問4の設問3は、R主任が営業部P部長に電話でパスワードを伝えるという問題行動に関する問題だ。

「電話でパスワードを教えてはいけない」というような記述は、教科書には書かれていない。R主任は、まず、P部長のメールアドレスと内線電話の番号を尋ね、これを本人の照会手段としている。この部分がどうであったか、をセキュリティの担当者として見る。第三者に、メールアドレスと内線番号を知る手段があるかどうか。社内の人間ということも想定できなくはないが、この場合は、第三者で考える。

名刺には、少なくともメールアドレスが書かれている。どこかで渡せば、管理の目からは離れる。さて、内線電話はどうか。書かれているとも言えるし、書かれていないとも言える。が、知る手段がまったくないわけではないだろう。パスワードが聞きだせるぐらいだから、内線番号は、容易である。従って、認証の手段としては不十分だったのだ。

セキュリティ担当者として、こうしたケース、それに、さまざまなトラブルや相談、課題解決などの仕事が、日々存在する。そうした業務を一つずつ片付けることで、テキストにない経験が積まれるわけで、その実力を問いたい、とIPAは言っているように思える。

それでも、過去問を数多く解けば、経験に相当するノウハウは蓄えられる。用語はより多く知っていて悪いことではない。が、過去問の傾向から言うと、専門的というほど詳しくなくとも、現場力があれば解答できる、そういう問題が出題されるものと思われる。

posted by tamaso at 23:23| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2006年01月14日

過去問の意義 〜 テクニカルエンジニア(情報セキュリティ)午後問題演習

テクニカルエンジニア(情報セキュリティ)の問題集だが、問題の数に思い違いがあった。午前の共通にはネットワーク関連を含めて80問。セキュリティに170問ほど。

今日は、このうちの共通知識の80問を片付けた。ネットワークの、特にプロトコルに関する知識がまだまだ足りていない。憶えるだけでなんとかなるので、まとめて一度片付けることにする。

さて、午後1。平成15年秋・NW午後1問4より。「webを利用したシステム」に関する問題。例として設問2をあげてみる。

設問2 GETリクエストよりPOSTリクエストが情報漏洩に対して安全である理由を二つ,それぞ35字以内で述べよ。

現場の経験があれば、何ということもない設問に見える。が、解答には、HTTPで何がサーバとクライアント間でやり取りされているかとか、ブラウザの挙動とか、ログの記録内容など、知識とスキルの幅と深さが問われる。また、複数の技術の関連性も理解している必要がある。

平成17年秋の情報セキュリティアドミニストレータ試験・午後2問題でも、純粋に技術的な知識だけではなく、情報漏洩のリスクの高さを理解したうえで、どこから個人情報が漏れる可能性があるかを問う問題が出題された。テキストには解答は載っていない、経験がものをいう設問であったかも知れない。
posted by tamaso at 23:10| Comment(2) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

午後の演習は明日ぐらいから 〜 テクニカルエンジニア(情報セキュリティ)試験

1時間ほど時間がとれたので、先日購入した問題集の「午前」にかかる。試験全科目に関連する問題は70問、残りはネットワークとセキュリティを中心に専門的な「午前的」問題が約200問ほどあるようだ。これぐらいの量なら、一回り3日ほどという見当になる。

さて、午後もそろそろ掛かる必要があるのだが、テクニカルエンジニアと称するだけに、システム監査やシステムアナリストとは出題の傾向がやや異なる。

システム監査、システムアナリストの午後問題は、時間をかければ解けるものが多い。さすがに30分で「読んで、理解して、考えて、書く」というのは、訓練が必要なのだが、これを2時間とか、翌日まで考えるとかにすると、作文の上手・下手はともかく、なんとか解答らしい方向性は出せるものだ。

が、テクニカルエンジニアの午後には「穴埋め」のようなものとか、技法・手法の「短所」を問うもの、「代案」を求めるものなどがある。午前の問題なら、正解は問題用紙に書いてあるから、それを選べば良いのだが、午後はどこにも書いてない。頭の中になければ、これは考えても出てくるはずがない。

知っていれば解答は簡単、知らないと部分点もない、という問題が(全問それではないが)かなり出題される。実は、この手の試験対策は、まず「知らないものが何かを知ること」で、方法は、とにかく問題に取り組んでみる、ということになるだろう。知らないことが判明したら、テキストや入門書で知識と知識の使い方を補充する。これの繰り返しだ。

英語のレッスンとよく似ているような感じもする。単語と構文をまず憶えて(テキストによるインプット)、ある場面を想定して会話練習をし(問題集で答練)、間違いを修正する(解答と解説を確認)。そういうことだろう。
posted by tamaso at 01:09| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2006年01月12日

申し込みは、月曜日 〜 テクニカルエンジニア(情報セキュリティ)試験

1月16日、春の試験の受付が始まる。いつものことながら、早めに申し込んで、「覚悟」を決めるつもりだ。

本試験までに、準備を終えておくというのは、ある種のプロジェクト管理のようなものだ。期日と目標がセットで存在していて、現在の状態との差異を計画的に埋める、という感じで勉強をする。3カ月は、期間としては長くはないが、足りないという期間でもない。従って、きちんと管理ができれば、準備は間に合うだろうし、管理が甘かったり、方法や読みに誤りがあれば、間に合わない、ことになるだろう。

その「差異」であるが、分かりやすいのは、実際に問題を解いてみることだろう。午前の目標は8割以上。午後なら解答の丸暗記ではなく、自分の言葉で外さずに(このチェックは難しいかもしれない)書く。特に、午後の試験は、時間内に書けるというのもチェックしておく。本試験では、迷っている時間はあまりない。時間感覚にズレがあると、最後まで解けないという事態も起こりうる。

どの時点で、どのレベルまで到達しておくべきか、大体の目安をつけておくと3カ月間、焦らずそれでも集中して取り組めると思う。
posted by tamaso at 23:53| Comment(2) | TrackBack(0) | 雑感 | このブログの読者になる | 更新情報をチェックする

問題集を入手 〜 テクニカルエンジニア(情報セキュリティ)

テキストと入門書を中心にインプット学習を続けてきたが、ようやく問題集を入手できた。午前・午後とも揃っている。システム監査・システムアナリストの受験対策の際も使ってきた、なじみの問題集だ。

アウトプットは、今まで憶えた知識の定着、弱点のあぶり出しと対策、という、知識・スキル面の対策とともに、本試験でのタイムマネジメントや字数のチェックなど、受験技術を身に付ける場面でもある。

「スキル」といわれるものは、受験や技術だけでなく、語学でもスポーツでも、やってみて身に付けるのが基本だ。それも繰り返して。今の段階では、解答が合っていたか間違っていたかは、そんなに気にとめる必要はない。それよりも、知らなくて間違ったのか、知っていたのにその知識が使えなかったために間違ったのか、あるいは、使い方を間違ったのか、そういう「視点」が必要だ。現場であれば、いわゆるOJTのようなものと、言えるだろう。

既に一通り知識が身についているのであれば、問題集だけで残り3カ月を過ごすこともできるが、実際にはまだ足りない部分が多いし、セキュアプログラミングは、まるで不十分だ。
book2.jpg
posted by tamaso at 00:27| Comment(0) | TrackBack(0) | 受験技術 | このブログの読者になる | 更新情報をチェックする

広告


この広告は60日以上更新がないブログに表示がされております。

以下のいずれかの方法で非表示にすることが可能です。

・記事の投稿、編集をおこなう
・マイブログの【設定】 > 【広告設定】 より、「60日間更新が無い場合」 の 「広告を表示しない」にチェックを入れて保存する。


×

この広告は1年以上新しい記事の投稿がないブログに表示されております。