2006年01月08日

再度、出題範囲を確認する 〜 テクニカルエンジニア(情報セキュリティ)試験

昨日仕上げたテキストでは、そもそも出題範囲をカバーし切れてない、と考えた。範囲外、そのひとつはセキュア・プログラミングではあるのだが、そういうことではなさそうだ。

さて、試験センターが公開している出題範囲は、どうだったか。

1 情報セキュリティシステムの企画・設計・構築に関すること
2 情報セキュリティの運用・管理に関すること
3 情報セキュリティ技術・関連法規に関すること
4 開発の管理に関すること

現在、入手可能な「教科書」だと、3が中心になる。それでも、関連法規や基準などは含まれない。

まず「1」。これは、具体的な技法ではなく、アプリケーションやネットワーク、データベースなどのセキュリティ対策で、それらの企画・設計・構築ということは、立ち上げの段階のこと。脅威と脆弱性がどこに存在するか、物理的な対策も含めて、基本的な考え方を固める。

「2」は、運用と管理ということだが、外部からの攻撃だけでなく、内部の問題も含まれる。必ずしも悪意があるわけではなく、うっかりとか誤操作などに対しても当然、対策が必要だ。教育などもここに含まれる。また、現実に攻撃に遭うとか事故に遭った際の復旧についても、対策のできるスキルが必要になる。

「3」については、先に書いたように法規・ガイドラインも含まれる。これも案外、範囲が広い。しかも、しばしば改定される場合があるので、要注意だ。

最後に「4」。企画・設計・構築とは別に、開発の管理として独立した項目になっている。従って、この点は注意が必要だ。ソフトウェアの脆弱性は、突き詰めれば開発の現場で作られる。プログラマは、効率こそが第一の目標だから、セキュリティに対する視点、知識、方法論は、セキュリティ担当のエンジニアの役割になる。

設計でも運用でも、基本は「視点」であり「見識」である。こうしたものは、本来は現場の経験で養われる。
posted by tamaso at 22:32| Comment(0) | TrackBack(0) | 受験戦略 | このブログの読者になる | 更新情報をチェックする

広告


この広告は60日以上更新がないブログに表示がされております。

以下のいずれかの方法で非表示にすることが可能です。

・記事の投稿、編集をおこなう
・マイブログの【設定】 > 【広告設定】 より、「60日間更新が無い場合」 の 「広告を表示しない」にチェックを入れて保存する。


×

この広告は1年以上新しい記事の投稿がないブログに表示されております。