2006年04月08日

とりあえず、相手を疑う 〜 テクニカルエンジニア(情報セキュリティ)試験対策

ネットワークによって、サーバとクライアントはつながる。攻撃を目論む者は、サーバから、あるいは、クライアントから、不正なコードを相手に送り込む。

相手を、とりあえず疑うというのも、セキュリティの基本的な考え方だ。おおむね、企業のセキュリティ技術者は、まず、情報の保護を考えるとサーバを守ることを考える。

が、それだけではない。現在では、SEが仕事を持ち帰り、営業はファミレスで仕事をする。彼らがはたして正式な企業のサーバだけに接続するかどうかは、疑問である。もちろん、指導はするのだろうが、ここでも、とりあえず疑う必要がある。

彼らが不正なコードを送り込むサーバに接続することは、ありえない話ではない。彼らのモラルだけでリスクをヘッジできるものではないので、当然対策が必要になる。技術的なものと管理的なもの、大抵の場合は「教育」など、管理的手法があげられるが、技術的な手法でガードする。これも技術者の仕事だといえよう。

うっかり訪れたサーバには、クライアントのほとんどの情報が「足跡」のように残される。それを前提に考えておく必要はある。
posted by tamaso at 23:10| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

ようやく時間捻出 〜 テクニカルエンジニア(情報セキュリティ)試験対策

今日は2時間、しっかりと時間が確保できた。というわけで、午前対策は40問。うち、20問はセキュリティ分野に踏み込んで。

セキュリティ関係の問題は、一応「満点」狙いでやってみたが、計算問題とプロトコルの一部で取りこぼす。計算問題は、まあ、うっかりというか横着な計算をしたためのミス。気をつけよう。プロトコルは、少々厄介で、とにかく種類が多いのと、優先順位がやや不明確だ。このあたりは、時間も残り少ないが、繰り返し解いて憶えるしかないと思う。憶えきれないものは諦めるというのも選択肢だ。

さて、後半の1時間は、データベース系のセキュリティ。実際はSQL関連ということだ。SQLというと、すぐに思いつくのは「SQLインジェクション」。これに関しては、事前に入力をチェックするのとサニタイジングが基本。他のインジェクション問題と異なるのは、SQLに限定されていることもあり、先にチェックをする、という点。

大抵の場合、出力(表示)の際にチェックやサニタイジングをするのが基本になるが、今回は先にやっておく。

そのほか、権限の調整がある。アプリケーションで利用するアカウントは、データベース管理用のものとはちゃんと使い分ける、ということ。事象が発生しても、被害を押さえ込めるように設計しておく。また、ID・PWは、スクリプトやプログラムの中に埋め込まない。外部を参照する方法がある。

Perlは、この手の問題が出題されれば、与件などに現れるだろうが、現実には注目する点は、プログラミングやコーディングの部分ではない。
posted by tamaso at 00:26| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

広告


この広告は60日以上更新がないブログに表示がされております。

以下のいずれかの方法で非表示にすることが可能です。

・記事の投稿、編集をおこなう
・マイブログの【設定】 > 【広告設定】 より、「60日間更新が無い場合」 の 「広告を表示しない」にチェックを入れて保存する。


×

この広告は1年以上新しい記事の投稿がないブログに表示されております。