2006年03月21日

セキュアプログラミングを再度学習する 〜 テクニカルエンジニア(情報セキュリティ)試験対策

テクニカルエンジニア(情報セキュリティ)試験では、セキュアプログラミングが出題されるのはほぼ間違いないと思う。例えば、午後1の必須問題とか。

過去問、予想問題をこなす中で、ネットワーク系やそれに関連して、認証・暗号などは何度も「訓練」をつむことができるのだが、プログラミングに関してはその機会が少ない。

最後まで、この両者についてはスキルを上げる必要があると思うので、プログラミングに関しては主に「入門書」を、ネットワークに関しては「問題集」を中心に、両方に取り組むことにする。

このところ時間の捻出が難しくなってきている。平日は帰宅が遅いし、休日はミーティングや会議など会社以外での召集も多い。電車の中の1時間ほどが、これからは貴重な時間になりそうだ。モチベーションと体調の維持を意識しておきたい。
posted by tamaso at 23:26| Comment(0) | TrackBack(0) | 受験戦略 | このブログの読者になる | 更新情報をチェックする

午後1問題をふたたび 〜 テクニカルエンジニア(情報セキュリティ)試験対策

退社が遅くなったため、今日は寄り道せずに電車の中で問題集をやる。午後2問題は一通り片付いたので、今日は午後1問題。後ろからやるのは、前半ばかりを繰り返しやるのを避けるため。

組織の管理に関するテーマだ。もともとシステム監査の午後1で出された問題だ。さすがに午後2に慣れてくると、午後1問題は軽く感じる。さて、この組織に関する問題だが、テクニカルエンジニアという視点で見るとやや遠い感じがする。契約であるとか、システム開発中の機密管理や開発後の処理について、いわゆる「手法」や「技法」がからまない。

それももっともな話で、そもそもシステム監査のスキルを試す試験だから、あまりテクニカルな問題は出されることはない。従って、この手の問題は「正解」を出すことに主眼を置くのではなく、仕組みや手順、データの受け渡しや管理のどこに脆弱性があるかを見つけることに注力する。

弱点を攻撃者や悪意ある第三者の視点で見つけることは、システムのセキュリティ対策につながることになる。弱点を「管理的」に対策するか「技術的」に対策するか、管理者とエンジニアの違いは、この違いと言ってもいいかもしれない。
posted by tamaso at 01:03| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

広告


この広告は60日以上更新がないブログに表示がされております。

以下のいずれかの方法で非表示にすることが可能です。

・記事の投稿、編集をおこなう
・マイブログの【設定】 > 【広告設定】 より、「60日間更新が無い場合」 の 「広告を表示しない」にチェックを入れて保存する。


×

この広告は1年以上新しい記事の投稿がないブログに表示されております。