2006年04月16日

攻撃者の視点と開発者の視点 〜 テクニカルエンジニア(情報セキュリティ)試験

半年間の準備に比べると、わずか一日の試験はとても短く感じた。

午前問題は、セキュリティだけでなく、データベースだのネットワークだの、そこそこ手強い問題が出て、やや落ち着きをなくしたが、解答速報など(やや内容が怪しいが)と合わせてみて、大外しはしていない様子。とりあえずクリアしたようだ。

さて、今回の午後問題、午後1と午後2で出題の傾向というか、方向性が大きく異なった。午後1(2,3,4を選択)は、攻撃者の視点によるところの問題という感じで、システムの隙や運用上の隙を指摘、攻撃の手法などを問う問題が目立ったように思った。

テキストの知識だけでなく、ネット上の脅威とかクラッカーの手法に通じる知識が必要な感じだ。このあたり、システム監査の試験でもそうだが、一時的にせよ「人を疑う」というか「どうやれば悪事が働けるか」という、性悪説のような感覚が必要だと思った。準備が足りなかったとしたら、問題集に頼りすぎるのではなく、むしろ専門書・入門書から、より実践的な知識を仕入れる部分だろう。

午後2(1を選択)は、開発者側の視点。悪意ある侵入者や情報を盗み出そうとする内部犯行者の影はあまり見えない。むしろ、ルールに沿う設計の実現のために、どうロジックを組み立てるか、といったところか。長文を読むことも必要だし、読みながら「構造化」するテクニックが必要。ただし、適用させるべき技法は問題には少ない。思考法というか、論理的な思考を試されているように感じた。

さて、解答用紙が既に事務局に渡った以上、もう出来ることは何もない。しばらくは、頭を休める。
posted by tamaso at 21:52| Comment(6) | TrackBack(2) | 雑感 | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
お疲れ様でした!!
自己採点午前33/55だったんですが、
脚きりですよね(;つД`) ?
Posted by のなめ at 2006年04月16日 22:32
初めまして。
そして試験お疲れ様でした。
私も本日受験してきました。
実績が無い試験という事もあり、試験対策をどのように勉強しようか?考えていたときに本サイトに出会いました。ほぼ毎日欠かさず拝見させて頂き、自分と照らし合わせながら、参考にさせてもらいました。自分一人で勉強しているんではないと言い聞かせながら1月から日々共感しながら頑張ってきました。結果はどうあれ既に終わってしまったことなので、ドキドキしながら待ってみます。お互いに合格出来るように祈ってます。ちなみに、今度、会社でプロジェクトマネージャの試験を受験するように言われているのですが(ほとんど強制?)、2005/12/15のログで立て続けに難解な試験(得に論文!)をパスしている姿に教祖的なものを感じました。例えが悪いですね。すいません。でも私からすると大変素晴らしい事です。自分の文章力からでは想像も出来ません。そこでPMを受験するにあたって、どのような参考書をお使いしたのか伺いたいです。得に論文はどのような参考書を使ったのでしょうか?参考になった文章とか、大変だったこととか、注意した事など、是非お聞かせ願えたらと思います。試験終わったばかりなので、美味しいビールでも飲んで頂いて、いつでも良いのでお時間が空いたときで構いませんので、ご返信のほど宜しくお願い致します。本当に試験ご苦労様でした。共に合格しましょう!!失礼致します。
Posted by まさパパ at 2006年04月16日 22:33
受験お疲れ様でした。
私は惨敗でしたが,合格されることを心から祈っております。
秋はネットワークを受験する予定ですが,SVは来年再挑戦します。
Posted by おっちゃん at 2006年04月16日 23:37
お疲れ様です。
今まで力づけられました。ありがとうございます。
午前は速報ベースで50取れましたが、
午後がどうなるか…
(午後1は1,3,4、午後2は2を選択)
セキュアドのときも午後1で520.
こればっかりは発表までわかりませんね。
ネットワークともセキュアドともちがう、ならではの問題となったと思います。特に、「理由」を問われる問題も多かったという印象と、おっしゃるクラッカーの身になって考える問題がもろにでました。

今日から、本命のセキュアドのリベンジ勉強に入ります。
内閣官房が企業に存在を求めています。
Posted by とおりすがり at 2006年04月17日 06:18
私はかなり準備不足で試験に臨んだと思います。
やはりプロセスがちゃんとしていないといい結果は出ませんね。
Posted by 3本橋のmaah at 2006年04月18日 02:34
はじめまして。

SV二日漬けで挑戦してきました。
セキュリティ知識問題は少なく、地頭の良さで勝負する場面が多かった気がします。(シス監もそんな感じでした。)
合格率が10%超えてくれれば、勝ち負けだと思います。
合格発表を楽しみに待ちましょう。
Posted by KEN at 2006年04月18日 17:15
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。
この記事へのトラックバックURL
http://blog.seesaa.jp/tb/16659252

この記事へのトラックバック

天に祈るのみ。(SV試験)
Excerpt:  テクニカルエンジニア(情報セキュリティ)試験、受けてきました。  感触は・・・、  これが意外に良好(注:受験前の想像と比較して)。  テクニカルエンジニア(ネットワーク)試験..
Weblog: 資格取得奮闘記
Tracked: 2006-04-16 22:37

■3週間完全マスターシリーズでガンバリマス
Excerpt: セキュリティ技術を勉強するにあたって、  「3週間完全マスター テクニカルエンジニア(情報セキュリティ) 2007年度版」 を購入しました。 11月はこれを中心に、攻めてみたいと思い..
Weblog: ★テクニカル(情報セキュリティ)受験にむけて
Tracked: 2006-11-11 11:23
×

この広告は1年以上新しい記事の投稿がないブログに表示されております。