2006年01月29日

午後1問題(セキュリティ技術) 〜 テクニカルエンジニア(情報セキュリティ)試験対策

問題集による、午後1問題対策は、「セキュリティ技術」の章に入った。おそらく、ここの部分が試験の最重点分野になるものと思う。

今回は、VPNがテーマ。VPN装置を用いたときに、パケットのヘッダにあるIP情報がどういう変化をするか、暗号化とハッシュ値の目的、NATを使ったときの不具合の原因、などが設問として出されている。VPNの基本的な仕組みが理解できているかどうかが問われる問題だ。

通信のセキュリティについて言うと、機密性・完全性、つまり、盗聴と改竄の対策が基本になるが、実はそれだけではない。送る相手が正しい相手か、届いたデータが正しい相手からのものか、これについても検証する必要がある。NATは、簡単に言えば、相手側から自分を隠す技術であるから、これを用いると、通信内容の認証はできなくなる。あとは、それらが、どのような仕組みで隠されたり、不具合となるかを知ることだ。

サンプル問題のレベルをひとつの基準として見ると、問われる内容は、ある程度「理解」をしておかないと解答できない内容のようだ。問題集で弱点をつかんだら、教科書ではやや足りない。入門書で押さえておくことにする。ネットの知識でも間に合うとは思うが。
posted by tamaso at 20:32| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

フィッシング詐欺 〜 テクニカルエンジニア(情報セキュリティ)試験対策

問題集から、出版社オリジナルの問題。テーマは「フィッシング詐欺対策」だ。

設問は、SSLも含めて、フィッシング詐欺の基礎知識のような問題だ。そもそも、どのような被害があるのか、とか、どういう手口か、とかである。そのほか、ファーミングの手口にも触れている。

フィッシングについては、現実の社会でも深刻な問題になりつつある。去年だと「個人情報保護法」がらみは重要案件であったが、今年は、このあたりがヤマにはなりそうだ。

クロスサイトスクリプティングとかバッファオーバフローとか、セキュリティの定番のテーマというものは、あると思う。フィッシング詐欺は、いくつかの攻撃パターンと脆弱性の組み合わせでできる。ソーシャルエンジニアリングもからむ、やや複雑な仕組みが、巧みに利用されるわけで、試験問題としても作りやすいと思う。

出題者の視点で見ると、1問はフィッシング、あと、プログラミングあたりを入れておきたくなるのが最近のセキュリティの現場ではなかろうか。
posted by tamaso at 01:42| Comment(0) | TrackBack(0) | 受験技術 | このブログの読者になる | 更新情報をチェックする

広告


この広告は60日以上更新がないブログに表示がされております。

以下のいずれかの方法で非表示にすることが可能です。

・記事の投稿、編集をおこなう
・マイブログの【設定】 > 【広告設定】 より、「60日間更新が無い場合」 の 「広告を表示しない」にチェックを入れて保存する。


×

この広告は1年以上新しい記事の投稿がないブログに表示されております。