2006年01月23日

セキュアな開発環境について 〜 テクニカルエンジニア(情報セキュリティ)試験対策

テクニカルエンジニア(情報セキュリティ)試験、特に午後の試験では、もちろんセキュリティに関する技法・手法の適用スキルを試すことが中心になる。が、それだけではない。セキュアな開発環境の整備は、情報セキュリティアドミニストレータではなく、テクニカルエンジニアの担当になるとも考えられる。従って、受験対策は、念のため押さえておいたほうがよいだろう。

そんなに多くの内容を含んではいない。以下のサイトを参照する。

http://www.ipa.go.jp/security/awareness/vendor/process.html

設計、プログラミング、テスト、設定(実装時)に関する留意点を紹介している。通常、セキュリティ対策は、脅威・脆弱性の認識 → 原因の特定 → 対策(この場合基本方針のようなもの)の実施 となる。

本件についていえば、例えば設計段階では、原因を「複雑性」としている。この視点は、他のセキュアプログラミングの書籍でも指摘されている。システムは、プログラミングによって、柔軟に機能を実装できるのだが、現在のようにチームというか、大人数で開発している場合、全体を統括する「方針」や「ルール」などが必要である。この例で言えば、「ウォーターフローモデル」や「スパイラルモデル」、「エクストリームプログラミング」などがあげられている。

システムの開発は、上記のようにいくつかのプロセスを経て導入されるのだが、それぞれのプロセスにおいて、弱点や原因、対策手法などを知る必要がある。
posted by tamaso at 22:49| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

無線LANのセキュリティ 〜 テクニカルエンジニア(情報セキュリティ)試験対策

今日はほとんど時間のない日だったが、とりあえず、何かやっとく。アイタック問題集、午後1問題(問1−3)、これは過去問ではなく同社のオリジナルだ。

問題の創作は、作問者の力量がはっきりと現れる。問題の形式が午後問題になっていても、内容が午前問題の内容(要するに知識レベルを問う問題)になっていたり、対話(上司と部下、クライアントとエージェントなど)の内容が説明的であったりするのは、つまり「こなれていない」ためだと思われる。今回もその傾向は読み取れる。

しかし、だからこの模擬問題が無意味かというと、実は全然そんなことはない。知識のインプットは、主に教科書を用いて行うため、各用語、各手法が、順次頭に入っていくのだが、それぞれの関連性はゆるやかなものとなる。ネットワークやセキュリティの入門書だと、より実践的な内容になるので、知識の整理はやや煩雑になるが、用語や手法の関連性はやや強くなる。

セキュリティの手法の進化は、こういうものかと思う。やや独断的ではあるが。
脅威 → 対策 → 脆弱性の露見 → 新たな脅威 → 対策の改善 → 新たな脆弱性 → …
技術を学ぶことは、歴史を学ぶことでもあるのだが、それは技術や脅威の「流れ」をつかむことだとも言える。

さて、この例題だか、テーマは無線LANのセキュリティ技術に関する問題である。用語は選択問題になっており、やや易しく作られてあったり、やや教科書的な対話という点はあるが、知識の整理には充分役立つ。この通りに出題されることを期待してはいけないと思うが、この内容がきちんと頭に入れば、本試験では、あとは「国語力」だけで勝負できることになる。ちなみに、国語力は「本物の」過去問で鍛えるのが効率的だろう。これは、この問題集にもふんだんにある。問題を構造化するのだが、その際は時間を気にせずに、ノートなどに「構造的」にまとめることから始めると良い。
posted by tamaso at 00:47| Comment(2) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

広告


この広告は60日以上更新がないブログに表示がされております。

以下のいずれかの方法で非表示にすることが可能です。

・記事の投稿、編集をおこなう
・マイブログの【設定】 > 【広告設定】 より、「60日間更新が無い場合」 の 「広告を表示しない」にチェックを入れて保存する。


×

この広告は1年以上新しい記事の投稿がないブログに表示されております。