2006年03月29日

セキュア・プログラミングの押さえどころ 〜 テクニカルエンジニア(情報セキュリティ)試験対策

今日は、午後1が2問。懐かしいサンプル問題がそのうち1問。初めて見たときは「これは大変だ」と思ったが、今なら(当たり前なのだが)、基本問題という感じに見える。

それと、いつもの入門書。こちらは「セキュア・プログラミング講座」の復習という趣きで、これも「うん、うん」といったところ。セキュリティに関わる者は、エンジニアでも管理者でも、基本は「厳格である」こと。できることはキチンとやる。ただし、うまい方法もある。ここらは試験に出るとか、そういうことではないが。

ネットワーク系の入門書は、だいたいが「本丸」の手前までの手口が書かれてあるように思う。攻めてくる経路、守りの破り方、よくある穴のあり場所、など。プログラミングでも、「備え」とか「構え」の部分が多い。

だが、試験では更に奥、本丸の内側への侵入・破壊も含まれるわけで、いわば、部屋の間取り、階段の位置、守備隊の隠れ場所、そして、大将の居場所、これらへの対処を知っておかねばならない。要するに、システム本体の弱点を押さえておかねばならない、ということだ。

プログラミングの最終的な押さえは、言語に行き着くことになるだろう。外回りを受け持つ、Perlやhtmlではなく、CやJavaあたりの知識・セキュリティの手法ということになる。ここまでくると、BOFだけでなく、変数やパラメータへの干渉まで見なくてはならない。

セキュア・プログラミングは、最後の守りであり、また、基本の守りでもある。
posted by tamaso at 00:14| Comment(0) | TrackBack(0) | 受験技術 | このブログの読者になる | 更新情報をチェックする

広告


この広告は60日以上更新がないブログに表示がされております。

以下のいずれかの方法で非表示にすることが可能です。

・記事の投稿、編集をおこなう
・マイブログの【設定】 > 【広告設定】 より、「60日間更新が無い場合」 の 「広告を表示しない」にチェックを入れて保存する。


×

この広告は1年以上新しい記事の投稿がないブログに表示されております。