2006年01月27日

セキュアプログラミングのキモ 〜 テクニカルエンジニア(情報セキュリティ)試験対策

今日はカバンが重くなるので問題集は持ち出さず、IPAの「セキュアプログラミング講座」を久々にやる。OSの対策は後回しにして、第10章、最終章の「より堅固なソフトウェア構築」である。

http://www.ipa.go.jp/security/awareness/vendor/programming/b10.html

この章、セキュアプログラミングの最も本質的な部分を語っている。テクニカルな部分は別の章になるが、「まず、ここを押さえろ」という内容だ。ポイントはふたつ

1.モジュール間のデータの受け渡し「インタフェース」のリスクに注目する
2.ソースコードは安全性の検証されたものを再利用するのが基本

インタフェースは、データの露出や意図しないデータの混入、強力な処理エンジンの副作用の危険性がある。具体的な例をあげると、URLによるデータの受け渡しや、SQL文へのパラメータの引継ぎ、open文、system関数などの取り扱い、などである。既にこれらは、他の章で詳しく解説されている。

また、ソースコードを新たに作成することは、軽く考えてはいけない、と。新たなコードはバグが混入するリスクが極めて高い。レビューは、開発者の視点での確認だけでなく、セキュアな視点での確認、バグ出しが必須である。できれば、優秀なプログラマによる安全で汎用的なモジュールを作成し、充分な検証の後、ライブラリに登録すると良い。

1.と2.は、それぞれ、データに関する脆弱性とプログラミングに関する脆弱性に関わる問題だ。受験対策として言うなら、ここの部分が与件にあれば、「要注意」ということになるのだ。
posted by tamaso at 23:24| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

電子メールシステムの運用 〜 テクニカルエンジニア(情報セキュリティ)試験対策

平成14年・NW午後1試験 問4
本試験の与件は、最初の行にテーマが書かれている。この一行、与件を読む際に重要なポイントとなることもある。

例えば、情報セキュリティの試験で、「電子メールシステムの運用に関する次の記述を読んで…」とあれば、問われるであろう内容がかなり絞れるはずだ。このあと、与件は、ざっと斜め読み(または見出しと図表のタイトルだけ読む)して、設問を読む。これで、与件の内容が予測でき、何にフォーカスして読めばよいかが決まる。

さて、今回はNW試験の過去問、それも「運用」に関する問題である。情報セキュリティの答練としては、やや焦点が外れているが、与件整理と関連知識ということで取り組む。内容は、ヘッダに関する基本的な知識、メールシステム運用の基本的な留意点、サーバに対する負荷の分散、など。運用面で言えば、実践を意識した問題という感じがする。

セキュリティに関しては、運用のミスによる情報の流出の防止、過負荷などから可用性を維持する方法、あたりだが、テクニカルとは言いがたい内容。もっとも、出題者の問題ではなく、なぜこれを掲載したか、の問題である。
posted by tamaso at 00:24| Comment(2) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

広告


この広告は60日以上更新がないブログに表示がされております。

以下のいずれかの方法で非表示にすることが可能です。

・記事の投稿、編集をおこなう
・マイブログの【設定】 > 【広告設定】 より、「60日間更新が無い場合」 の 「広告を表示しない」にチェックを入れて保存する。


×

この広告は1年以上新しい記事の投稿がないブログに表示されております。