2006年03月21日

午後1問題をふたたび 〜 テクニカルエンジニア(情報セキュリティ)試験対策

退社が遅くなったため、今日は寄り道せずに電車の中で問題集をやる。午後2問題は一通り片付いたので、今日は午後1問題。後ろからやるのは、前半ばかりを繰り返しやるのを避けるため。

組織の管理に関するテーマだ。もともとシステム監査の午後1で出された問題だ。さすがに午後2に慣れてくると、午後1問題は軽く感じる。さて、この組織に関する問題だが、テクニカルエンジニアという視点で見るとやや遠い感じがする。契約であるとか、システム開発中の機密管理や開発後の処理について、いわゆる「手法」や「技法」がからまない。

それももっともな話で、そもそもシステム監査のスキルを試す試験だから、あまりテクニカルな問題は出されることはない。従って、この手の問題は「正解」を出すことに主眼を置くのではなく、仕組みや手順、データの受け渡しや管理のどこに脆弱性があるかを見つけることに注力する。

弱点を攻撃者や悪意ある第三者の視点で見つけることは、システムのセキュリティ対策につながることになる。弱点を「管理的」に対策するか「技術的」に対策するか、管理者とエンジニアの違いは、この違いと言ってもいいかもしれない。
posted by tamaso at 01:03| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。
この記事へのトラックバックURL
http://blog.seesaa.jp/tb/15174695

この記事へのトラックバック
×

この広告は1年以上新しい記事の投稿がないブログに表示されております。