2006年01月10日

情報セキュリティのガイドライン 〜 テクニカルエンジニア(情報セキュリティ)試験

テクニカルエンジニア、とは言うものの、「管理」や「教育」などという文字も出題範囲の中には見え隠れする。作問者にしてみれば、純粋に「技術」だけで問題を構成するのは難しいだろうし、現場ではさらに純粋に技術だけやればいいという状況も考えにくい。

ようやく問題集が出版されることになったが、「視点」という意味では、ガイドラインも参考にはなる。単なる「見出し」「項目」の羅列のようではあるが、網羅性ということでは一度目を通す程度のことをして、知識に欠落がないか、各項目の言わんとすることが理解できるかチェックするというのもいいだろう。全体の構成をいつも意識しつつ、詳細を理解するというのが基本だと思う。

http://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Audit_Annex01_1.doc
posted by tamaso at 23:49| Comment(2) | TrackBack(0) | 受験技術 | このブログの読者になる | 更新情報をチェックする

2006年01月09日

スキルは積み上げるしかない 〜 テクニカルエンジニア(情報セキュリティ)試験対策

合格点だけをなんとかしたいのなら、過去問を繰り返し数多く解くということでも何とかなるかもしれない。ある程度、基礎知識があれば、必要なものは実践適応力というか、試験会場での現場対応力ということになる。

現実には、このテクニカルエンジニア(情報セキュリティ)試験を見ると、「情報セキュリティ」という視点で、システムを横断的に扱うことになるから、すでにそういうい職場で仕事をしてる場合を除くと(そういう職場であっても、たいていの場合は)全体的な基礎知識がもともと足りていることは少ないだろう。

スキルとは「技能」であるから、いきなり高度な技能を手に入れるということは難しい。英語では既に抜群のスキルがあっても、スペイン語を学ぼうとすれば、まずは発音やアルファベット、挨拶のフレーズから、ということになる。同じように、プログラミングやネットワーク、データベースはもちろん、運営や保守ができるばあいでも開発や構築では勝手が違うし、人的な管理とシステムの管理では考え方も適用する技術も違う。ないものは、基本から積み上げるしかない。

ただし、システムの場合でも、共通の知識・スキルもある。スペイン語は初めてでも、イタリア語やポルトガル語の素養があれば、より短期間で習得できるように。

おそらく、問題集がそろそろ出てくるタイミングだ。明らかに不足している知識・スキルは、今すぐにでも補強して良いが、それが分からない場合は問題を解くことで知ることもできる。あとは時間との勝負になる。
posted by tamaso at 23:02| Comment(0) | TrackBack(0) | 受験技術 | このブログの読者になる | 更新情報をチェックする

2006年01月08日

再度、出題範囲を確認する 〜 テクニカルエンジニア(情報セキュリティ)試験

昨日仕上げたテキストでは、そもそも出題範囲をカバーし切れてない、と考えた。範囲外、そのひとつはセキュア・プログラミングではあるのだが、そういうことではなさそうだ。

さて、試験センターが公開している出題範囲は、どうだったか。

1 情報セキュリティシステムの企画・設計・構築に関すること
2 情報セキュリティの運用・管理に関すること
3 情報セキュリティ技術・関連法規に関すること
4 開発の管理に関すること

現在、入手可能な「教科書」だと、3が中心になる。それでも、関連法規や基準などは含まれない。

まず「1」。これは、具体的な技法ではなく、アプリケーションやネットワーク、データベースなどのセキュリティ対策で、それらの企画・設計・構築ということは、立ち上げの段階のこと。脅威と脆弱性がどこに存在するか、物理的な対策も含めて、基本的な考え方を固める。

「2」は、運用と管理ということだが、外部からの攻撃だけでなく、内部の問題も含まれる。必ずしも悪意があるわけではなく、うっかりとか誤操作などに対しても当然、対策が必要だ。教育などもここに含まれる。また、現実に攻撃に遭うとか事故に遭った際の復旧についても、対策のできるスキルが必要になる。

「3」については、先に書いたように法規・ガイドラインも含まれる。これも案外、範囲が広い。しかも、しばしば改定される場合があるので、要注意だ。

最後に「4」。企画・設計・構築とは別に、開発の管理として独立した項目になっている。従って、この点は注意が必要だ。ソフトウェアの脆弱性は、突き詰めれば開発の現場で作られる。プログラマは、効率こそが第一の目標だから、セキュリティに対する視点、知識、方法論は、セキュリティ担当のエンジニアの役割になる。

設計でも運用でも、基本は「視点」であり「見識」である。こうしたものは、本来は現場の経験で養われる。
posted by tamaso at 22:32| Comment(0) | TrackBack(0) | 受験戦略 | このブログの読者になる | 更新情報をチェックする

2006年01月07日

暗号化技術など 〜 テクニカルエンジニア(情報セキュリティ)試験対策

今日でテキストが1冊分修了。最終章は暗号化のほか、可用性対策も含まれていた。

さて、暗号だが、以前にも書いたように「アルゴリズム」と「かぎ」の組み合わせがポイントになる。鍵のおかげでアルゴリズムが使いまわしできるというわけだが、そのためには鍵の管理が必要になる。優れたアルゴリズムでも、鍵の内容が知られたら暗号は解読というか、復号化できるからだ。

公開鍵暗号方式は、ネットでの通信内容の暗号化に大きな変化を与えた。PKIのもと、単に通信文を暗号化するだけでなく、「認証」という仕組みが可能になったわけだ。

暗号化に限らず、ネットでは多数のプロトコルが存在する。試験には、おそらくその中のいくつかが取り上げられるのだが、プロトコルの名前とか内容を知ることが重要なのではない。どういうときに、どの技術がを適用するのがいいのか、また、留意点はどこにあるのか、情報セキュリティを受け持つテクニカルエンジニアということであれば、自分自身が実装するだけではなく、すでにあるシステムのチェックも必要となる。

試験でよくある「〜君と〜氏」のうち、〜氏の見識があるかどうか、それを作問者は探ろうとするのだろう。
posted by tamaso at 21:13| Comment(2) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2006年01月06日

認証について学ぶ 〜 テクニカルエンジニア(情報セキュリティ)試験対策

テクニカルエンジニア(情報セキュリティ)試験の午後対策は、今のところ標準的な受験テキストで進めている。今回は「認証」。残るは「暗号」のみとなり、明日にはこのテキストも一旦仕上げとなる。

さて、認証だが、一般には「本人認証」とか「ユーザ認証」と呼ばれる、クライアントの認証がよく知られているが、他にも「サーバ認証」や「メッセージ認証」がある。また、サーバとクライアント間だけで認証の手続きを行う「2者間」や認証局を介した「3者間認証」というものもある。また、プロトコルも多数ある。この多数のプロトコルは、それなりに厄介なのだが…。

これらがなぜあるのか。目的や長所・短所、特徴を知るというのが、受験の準備には必要だが、知識のみのインプットであったり、技術論に終始したのでは、本試験では間に合わない場合もある。サンプル問題や、他の情報処理技術者試験の論述・記述問題でも見られるように、現場にそれらの技術が「適用」できるか、あるいは「環境」をセキュアな状態に保てるか、などが本来のエンジニアに求められるスキルであり、試験でもそれが試されるわけだ。

午後の与件(問題文)は、長文ではあるが背景やディティールにも配慮された文章になっている。それは、現場への「技術の適用力」を試すために、擬似的な現場を作り出そうとしているからだろう。
posted by tamaso at 23:40| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2006年01月05日

年が明けて、午前対策にも取り組む 〜 テクニカルエンジニア(情報セキュリティ)試験

情報処理技術者試験は、どの試験でも、午前は多肢選択式というやつで、主に「知識」を問う問題だ。ただし、計算問題はスキルも必要。

午前の対策の基本は「繰り返し」。できるだけ多くの種類の問題を、繰り返し解くのが基本だといえる。初級シスアド受験から始まって、いくつも受験をしてきたが、過去問がそのまま出題される場合も多いし、少し変えただけ、というのももっと多い。過去問は「ほぼ完璧」に解答できるようになれば、ハードでもソフトでも開発手法でも、基礎知識がそれほどなくても受験対策で何とかなる。要するに、回数でなんとかなるものだ。

ただし、てこずる分野というものはある。何度も間違う分野、なかなか頭に入らない分野、などだ。これだけは、別にテキストで知識の強化をする必要はある。しかし、これも受験対策。苦手の克服も当然含まれる。
posted by tamaso at 22:30| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2006年01月04日

不正侵入の検知・防御のしくみ 〜 テクニカルエンジニア(情報セキュリティ)試験対策

正月も4日になると少し人出が減る。今日はコーヒーショップをはしごしつつ、情報セキュリティ技術の1回目、不正侵入の検知と防御のシステムについて勉強した。

基本は「セグメント」ということになる。攻撃からシステムを守るには、その重要度に応じたセグメント分けをする。仮にサーバが攻撃されても、他に影響がないように守るわけだ。Webサーバは、社内の、例えば個人情報や仕事のデータベースと、しっかりセグメントを分け、アクセスをコントロールするとともに、ファイアウォールなどで不正なパケットの攻撃から守る。ファイアウォールは、基本的にパケット単位で、ポートやIPアドレスを根拠に通過・破棄を制御するため、ウイルスやワーム、メールや正規のポートを使ったアクセスはガードできない。それでもファイアウォールで、相当の攻撃は防げる。要するに、仕組みの特徴や長所・短所を知る必要があるというわけである。

さて、そのほかにも検知や防御のシステムはいくつかある。IDSはネットワークやサーバに実装して監視する仕組みだ。基本的には「既知」の攻撃に有効なため、自社でオリジナルなアプリケーションを用意している場合、このままでは防げない。ホストの監視についても同じだ。IPSとなると、さらに検知とともに遮断などの防御機能もある。ただし、これらは、ファイアウォールやアプリケーションそのもののセキュリティ強化も併せて実施するのがよい。

不正侵入やこの後の攻撃は、そもそもOSやサーバ、アプリケーションの脆弱性をターゲットとするのだから、本来はこれらシステム(ソフトウェア)のセキュリティ強化が前提である。システムのバージョンアップやパッチを漏れなく行って、最新の状態にするのは、クライアントだけのことではない。
posted by tamaso at 20:55| Comment(0) | TrackBack(1) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2006年01月03日

情報セキュリティに関する脆弱性 〜 テクニカルエンジニア(情報セキュリティ)試験対策

昨年暮れに「情報セキュリティの脅威」を、今年最初には「情報セキュリティの脆弱性」を勉強した。

そもそも、システムに対する攻撃は、基本的に「弱点」を狙うのが正攻法。従って、脅威と脆弱性は表裏一体といえる。実際、システムの弱点をそのままにしている場合も多数あるという。単に、インターネット上のサイトだけでなく、リモートアクセスの接続点、社内であっても、無線LANのアクセスポイントやむき出しのハブというのもある。また、こうした侵入路だけでなく、システムそのものにも弱点が多くある。WebアプリケーションやOSそのもののセキュリティホールのほかに、暗号化されていないパケットにも弱点はある。もう少し基本的な部分では、さまざまなプロトコルの弱点というのもある。

インターネットが普及し始めて、既に10年以上になる。古い技術がそのまま残っているものも多いため、それらが今では脆弱性と呼ばれるようになっている。だからといって、すぐには変更できないほど、普及は進んでいる。
posted by tamaso at 00:05| Comment(2) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

広告


この広告は60日以上更新がないブログに表示がされております。

以下のいずれかの方法で非表示にすることが可能です。

・記事の投稿、編集をおこなう
・マイブログの【設定】 > 【広告設定】 より、「60日間更新が無い場合」 の 「広告を表示しない」にチェックを入れて保存する。


×

この広告は1年以上新しい記事の投稿がないブログに表示されております。