2006年02月06日

開発環境のセキュリティ 〜 テクニカルエンジニア(情報セキュリティ)試験対策

今日は時間がなくて、勉強は「眺めた程度」だ。そういう日もある。

セキュアプログラミング、については、技法であるとか不正に対する対策であるとか、微視的な内容が先行していたりする。実際には、試験範囲にも書かれているように、セキュアな開発環境というテーマもある。このあたりになると、テキストもフォローし切れていないようで、ポイントを押さえるには他のテキストにあたる必要がある。

http://www.ipa.go.jp/security/awareness/vendor/process.html

非常に荒い内容ではあるが、「設計」「プログラミング」「テスト」「設定」の4段階について「留意点」のような形でまとめられている。技法ではないが、午後の試験ではこのような留意点を一応念頭に置いておくのも良いと思う。

本試験では、現場のシチュエーションを想定した問題が「与件」として与えられる。セキュリティ担当の技術者やマネージャが、どこに目を配るかは、試験の読みどころといえなくもない。
posted by tamaso at 23:05| Comment(0) | TrackBack(0) | 受験技術 | このブログの読者になる | 更新情報をチェックする

2006年02月05日

今日もVPN 〜 テクニカルエンジニア(情報セキュリティ)試験対策

VPNは、IPsecが良く知られているが、その下の層にあるPPTPを今日は憶えた。

VPNを通すということには、ホスト間やLAN間以外に、リモートアクセスの際にも使われる。特に、インターネットを経由してのリモートアクセスは、VPNは必須だ。当然だが、VPNであるから「カプセル化」「暗号化」「認証」などがセットで使われている。特に、ポイントになるのは、認証と鍵の生成だ。ネット上に鍵を通すと、盗聴のリスクが生じる。このプロトコルでは鍵の「種」を交換し、それぞれで生成して「共通鍵」とする。この種の交換には、公開鍵やハッシュ関数を利用する。これで認証も同時に行えるというわけだ。

VPNには、カプセル化という技術もあり、これも使い慣れていないとイメージがつかみにくい。感覚的に分かるまで、書いて憶え、また、読んで理解することを繰り返すしかない。だが、しっかり身についた知識は、強い。技術は発想と原理の積み重ねである。下からちゃんと知識を積み上げるのが基本だ。
posted by tamaso at 20:40| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2006年02月04日

セキュアプロトコルをもう一度 〜 テクニカルエンジニア(情報セキュリティ)試験対策

先日の午前対策で分かった弱点のひとつ。プロトコルがイマイチ頭に入っていない。午後対策も兼ねて、今日はセキュリティ関連のプロトコルとVPNをセットで復習した。

VPNは、いくつかのプロトコルと技術の組み合わせだ。ポイントは三つある。「カプセル化」「暗号化」「認証」だ。それぞれにプロトコルがいくつか用意されているというわけだ。また、暗号化とともに、鍵の交換も必要だが、これにも複数の方法がある。

VPNには、ほかにもホスト同士の接続と、インターネット上の仮想的トンネルを経由した接続がある。このあたり、知識からスキルにするためには、もう少し身につくように問題に取り組むか、実例にあたる必要があるかもしれない。

いずれにしても、教科書的な知識ではまだ足りない、ということだろう。
posted by tamaso at 23:04| Comment(2) | TrackBack(1) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2006年02月03日

今日も午前対策 〜 テクニカルエンジニア(情報セキュリティ)試験対策

テクニカルエンジニア(情報セキュリティ)試験対策ということで、引き続き午前の対策を1時間ほど。因みに、問題数は60問ほど。

昨日はセキュリティ技術の基礎、今日はマネジメントやリスク分析、システム監査などが中心だ。このあたりになると、取りこぼしが少々目立つ。記憶している知識だけでなく、文脈から判断する問題がいくつかある。本試験では時間との戦いもないわけではないが、慌てて読んで「読み違い」をするかもしれない、という結果が出た訳だ。

新設の試験ではあるが、他の科目の過去問が出題されることは充分あるわけで、「慣れる」ということが攻略法の一つだと思う。今のところは、間違っても構わないという気で、「弱点の洗い出し」だ。
posted by tamaso at 23:48| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

午前対策 〜 テクニカルエンジニア(情報セキュリティ)試験対策

今日は、情報セキュリティの基礎知識を試す問題が70問あまり。

この分野は、さすがに大きな取りこぼしはない。ただし、VPN周りはやや弱点がある。IPsecを中心に再度インプットしておくことにする。

午前問題は、要するにキーワードの整理と言える。プロトコルや用語などなど、一目見て分かるようにしておきたい。数は膨大だが、午後の基礎体力にもつながる。英単語感覚で記憶するのもいいかもしれない。こういうものは、短期間で入れたほうがいいだろう。
posted by tamaso at 00:00| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2006年02月01日

当分は午前対策でいく 〜 テクニカルエンジニア(情報セキュリティ)試験対策

午後対策というか、知識のインプットは、プログラミングを少し残してほぼ終了。この後は、問題集中心でいいと思うが、その前に、午前対策を仕上げおきたい。

単に、気分の問題だと思う。とはいえ、なんとなく仕残し感のある状態も嫌なので、まず二回り分ほどを来週末までには片付けたい。次の土曜日はセールスプロモーションの講座、日曜日は診断士の事業協同組合の仕事で、いずれも終日拘束されるので、集中できるのは、平日の夜ということになる。

弱点の洗い出しが主眼ではあるが、ポイントは、間違ったその場で知識の補充をすること。これが一番効率が良さそうに思う。
posted by tamaso at 23:39| Comment(0) | TrackBack(0) | 受験戦略 | このブログの読者になる | 更新情報をチェックする

WEPの脆弱性 〜 テクニカルエンジニア(情報セキュリティ)試験対策

無線LAN、特にWEPキーに関する脆弱性は、サンプル問題の午後2試験でも出題されているので、より多くに知られるところとなった。本試験で無線LANが出題されるとしたら、ここが大ヤマとなるのではなかろうか。

無線LANに関するセキュリティは、より高度な認証とパケットの暗号化、それに、アクセスポイントの隠蔽なども含まれる。WEPを利用したセキュリティは、アクセスに必要なID・パスワードを利用者が共有することになるので、管理に関しても問題がある。例えば、アクセス権をもったユーザーが、担当を離れるなどしてアクセス権を外そうとすると、関係者全員のパスワードを変える必要が出てくる。これは、実質的には難しいだろう。

サンプル問題では、アクセスポイントをファストフード店などの公衆APを想定しているが、このあたりは、上記の事情や、長時間のパケット受信によるIVの推定、WEPキーの解読という、状況を実現するための設定だろう。

さて、この解決策だが、認証の仕組み、暗号化の方法、暗号キーの管理の仕組みなどを見直すということになる。この部分と、WPA、RADIUS、EAPとの関係が理解できれば、概ね、この分野は大丈夫だと思う。
posted by tamaso at 00:26| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

広告


この広告は60日以上更新がないブログに表示がされております。

以下のいずれかの方法で非表示にすることが可能です。

・記事の投稿、編集をおこなう
・マイブログの【設定】 > 【広告設定】 より、「60日間更新が無い場合」 の 「広告を表示しない」にチェックを入れて保存する。


×

この広告は1年以上新しい記事の投稿がないブログに表示されております。