2006年04月10日

いまからやること 〜 テクニカルエンジニア(情報セキュリティ)試験対策

いよいよ本試験が直前にまで迫ってきた。平日が4日間、あとは土曜日が1日だ。さて、このあとはどういう戦略で臨むか、考えてみた。

・午前
本試験は、要するに午後2をクリアするための試験だと言えなくもない。午前の試験は、いわば「予選」だ。ここで落とすわけにはいかない。既に、一度は問題に取り組んだと思うので、特に間違いの多い分野はテキストで補強、少しのミスは解説をきちんと読んで知識のつくろいをしておく。目標は8割以上の正解だ。

・午後
テキストのおさらいは、やっておいた方が良い。まず目次。セキュリティは範囲が広い。全体像を目次でつかみ、各章の下にある、節のテーマを見て、分かるか分からないか、自分なりに吟味してみる。意味や構成がつかみにくい、理解しにくい、といった節があれば、そこは読んで理解する。大体の意味が、節のテーマでわかるようなら、その節は流し読みをしてポイントをマーカーなどで押さえておけばいいだろう。理解が進んでいれば、テキスト1冊は2時間ほでおさらいはできると思う。

・午後1
長文ではあるが、慣れればそう長いと感じることはないだろう。字数どおり書く、という作業は、一度は経験しておく必要がある。面倒でも、書く練習は必要だ。ここで知識の補充をしても良い。案外、テキストに書かれていない内容があったりする。

・午後2
2時間の問題なので、いまから全問にあたるわけにはいかないだろう。ここでは、時間の感覚をつかむつもりで1問ぐらいはやってもいいと思う。できれば、解答よりも「読む練習」のつもりであたった方がいいだろう。

新制度の試験、ということもあり、どういう問題が出題されるかは分からないが、試験の目的は「スキル標準」の評価にあることは間違いない。知識よりも現場対応力が問われるわけだが、過去の経験でいえば、初めて見る問題でも、ある程度力がついていれば、解答の方向性は見えてくるものだ。諦めずに、空白は全部埋める、この一点が極めて重要だ。

posted by tamaso at 23:40| Comment(0) | TrackBack(0) | 受験戦略 | このブログの読者になる | 更新情報をチェックする

2006年04月02日

時間の問題 〜 テクニカルエンジニア(情報セキュリティ)試験対策

受験票が届いた。会場は、以前、情報セキュリティアドミニストレータを取った時の会場と同じだ。ほぼ毎回、試験のたびに会場が変わるのだが、偶然か必然か、とにかくゲンがいい。

さて、もう4月になってしまった。これからは時間との勝負ということになる。まずは、補充の必要な知識・スキルの書き出しと、問題集の消化計画を立てる。無理にならない程度で、きっちりと消化できると気分が良い、というスタンスで考えることにする。

午前問題は、今のレベルだとセキュリティについては及第点、苦手な分野は理解度で6割程度とみた。まあ、確かに過去の試験で何度も経験している分が役に立つ。ただし、去年の秋は「免除」だったので一年ぶりだ。油断はできない。

午後は、問題演習でネットワーク系はかなり進んだと思う。プログラミングは、Web系がやや先行し、C++やJava系は、以前に一通り読んだ程度。ここも憂いを残さないように片付けていく。

会社の仕事も、山は越した。ここからは、ほぼ100パーセント注力で、合格を目指そう。わずか2週間のことだ。
posted by tamaso at 01:43| Comment(0) | TrackBack(0) | 受験戦略 | このブログの読者になる | 更新情報をチェックする

2006年03月21日

セキュアプログラミングを再度学習する 〜 テクニカルエンジニア(情報セキュリティ)試験対策

テクニカルエンジニア(情報セキュリティ)試験では、セキュアプログラミングが出題されるのはほぼ間違いないと思う。例えば、午後1の必須問題とか。

過去問、予想問題をこなす中で、ネットワーク系やそれに関連して、認証・暗号などは何度も「訓練」をつむことができるのだが、プログラミングに関してはその機会が少ない。

最後まで、この両者についてはスキルを上げる必要があると思うので、プログラミングに関しては主に「入門書」を、ネットワークに関しては「問題集」を中心に、両方に取り組むことにする。

このところ時間の捻出が難しくなってきている。平日は帰宅が遅いし、休日はミーティングや会議など会社以外での召集も多い。電車の中の1時間ほどが、これからは貴重な時間になりそうだ。モチベーションと体調の維持を意識しておきたい。
posted by tamaso at 23:26| Comment(0) | TrackBack(0) | 受験戦略 | このブログの読者になる | 更新情報をチェックする

2006年03月15日

全体的なことと、微細なこと 〜 テクニカルエンジニア(情報セキュリティ)試験対策

セキュリティ技術の担当者、あるいは開発部門のセキュリティ担当者かもしれないが、試験の出題範囲をすべて、知識・スキルとして備えている必要があるかどうか、これは一概には言えない。医者で言えば、専門医という立場もありうる。

が、セキュリティが厄介なのは、医者は症状に対する対応で間に合うのだが(もちろん、予防を指導することも大切)、セキュリティは事象が発生すること事態が問題になるからだ。

つまり、守りは万全、という体勢をとる必要がある。従って、セキュリティを任されると、全体の構成から理解し、リスクをあぶりだして対策しなくてはならないわけである。しかも、わずかな「穴」も危険になる。

セキュリティに関する試験は、ある意味、他の情報処理技術者試験とは異なり、単なるソリューションを解答とするだけで済まないのかも知れない。出題は、その性質上、微細な部分に触れたり、ある部分にフォーカスした形になるだろうが、セキュリティの「守り」と同様、受験対策も「万全の守り」をしなくてはならない、というかなりタフな対策が必要なのだろう。
posted by tamaso at 23:40| Comment(0) | TrackBack(0) | 受験戦略 | このブログの読者になる | 更新情報をチェックする

2006年03月01日

エンジニアとしての情報セキュリティスペシャリスト

情報セキュリティに直接関連する試験は、この春に新設されたテクニカルエンジニア(情報セキュリティ)と、秋に実施される情報セキュリティアドミニストレータがある。テクニカルエンジニアは、技術者としての情報セキュリティのスペシャリストといえるだろう。

ITに関連する技術者であっても、例えばバグを作り込まない開発を目指す、という意味で可用性の立場でのセキュリティにかかわっている。もちろん、機密性や完全性においても、セキュリティを意識しないわけではない。が、エンジニアの本分は、効率性であったり、更新の容易性であったりするわけで、セキュリティが他に優先されるというものではない。よって、セキュリティのスペシャリストが、その責任においてセキュリティ技術の選択・実装を担う(直接でなくとも)ことになるのだろう。

情報セキュリティは、保険のようなものであるから、事象が現実化しなければコストは利益を生むことはない。また、経費を圧縮するものでもない。要するに、コストのみを生むものであるし、また、開発段階ではスケジュールに影響も与える。だからこそ、最適な技術の選択と確実な実装が大切なのだと思う。

完璧を目指すのではなく、最適を目指す、経験と勘を理論的に裏付けることのできる思考力が試されるのだろう。
posted by tamaso at 00:06| Comment(0) | TrackBack(0) | 受験戦略 | このブログの読者になる | 更新情報をチェックする

2006年02月01日

当分は午前対策でいく 〜 テクニカルエンジニア(情報セキュリティ)試験対策

午後対策というか、知識のインプットは、プログラミングを少し残してほぼ終了。この後は、問題集中心でいいと思うが、その前に、午前対策を仕上げおきたい。

単に、気分の問題だと思う。とはいえ、なんとなく仕残し感のある状態も嫌なので、まず二回り分ほどを来週末までには片付けたい。次の土曜日はセールスプロモーションの講座、日曜日は診断士の事業協同組合の仕事で、いずれも終日拘束されるので、集中できるのは、平日の夜ということになる。

弱点の洗い出しが主眼ではあるが、ポイントは、間違ったその場で知識の補充をすること。これが一番効率が良さそうに思う。
posted by tamaso at 23:39| Comment(0) | TrackBack(0) | 受験戦略 | このブログの読者になる | 更新情報をチェックする

2006年01月08日

再度、出題範囲を確認する 〜 テクニカルエンジニア(情報セキュリティ)試験

昨日仕上げたテキストでは、そもそも出題範囲をカバーし切れてない、と考えた。範囲外、そのひとつはセキュア・プログラミングではあるのだが、そういうことではなさそうだ。

さて、試験センターが公開している出題範囲は、どうだったか。

1 情報セキュリティシステムの企画・設計・構築に関すること
2 情報セキュリティの運用・管理に関すること
3 情報セキュリティ技術・関連法規に関すること
4 開発の管理に関すること

現在、入手可能な「教科書」だと、3が中心になる。それでも、関連法規や基準などは含まれない。

まず「1」。これは、具体的な技法ではなく、アプリケーションやネットワーク、データベースなどのセキュリティ対策で、それらの企画・設計・構築ということは、立ち上げの段階のこと。脅威と脆弱性がどこに存在するか、物理的な対策も含めて、基本的な考え方を固める。

「2」は、運用と管理ということだが、外部からの攻撃だけでなく、内部の問題も含まれる。必ずしも悪意があるわけではなく、うっかりとか誤操作などに対しても当然、対策が必要だ。教育などもここに含まれる。また、現実に攻撃に遭うとか事故に遭った際の復旧についても、対策のできるスキルが必要になる。

「3」については、先に書いたように法規・ガイドラインも含まれる。これも案外、範囲が広い。しかも、しばしば改定される場合があるので、要注意だ。

最後に「4」。企画・設計・構築とは別に、開発の管理として独立した項目になっている。従って、この点は注意が必要だ。ソフトウェアの脆弱性は、突き詰めれば開発の現場で作られる。プログラマは、効率こそが第一の目標だから、セキュリティに対する視点、知識、方法論は、セキュリティ担当のエンジニアの役割になる。

設計でも運用でも、基本は「視点」であり「見識」である。こうしたものは、本来は現場の経験で養われる。
posted by tamaso at 22:32| Comment(0) | TrackBack(0) | 受験戦略 | このブログの読者になる | 更新情報をチェックする

2005年12月28日

試験範囲を見直す 〜 テクニカルエンジニア(情報セキュリティ)試験

システムアナリストの時も、システム監査のときも、特にそういうことはしなかったが、今回は決定版のテキストがないこともあって、あれこれと乱読のように入門書や他のテキストにあたっているだけに、念のため誤差が出ていないか、確認することにした。

午前は特に問題はないと思うので、確認は午後のテクニカルエンジニア(情報セキュリティ)試験だけだ。

1 情報セキュリティシステムの企画・設計・構築に関すること
2 情報セキュリティの運用・管理に関すること
3 情報セキュリティ技術・関連法規に関すること
4 開発の管理に関すること

詳細は省略するが、これを見ると必ずしも「テクニカル」だけではない。1の企画・設計・構築には、多くの技術が適用されるし、2の運用・管理も、セキュリティ技術の長所や短所を知っておく必要があるようだ。また、運用管理は、緊急事態への備えなどもある。そのほか教育や監査など押さえる範囲は広い。このあたり、情報セキュリティアドミニストレータ試験と重なる部分が多いように思う。

その下、技術・関連法規は、字面でみるとピュアな技術的な知識のほかに、法律も知っておく必要があるようである。個人情報保護法だけではなく、不正侵入防止法や、刑法、デジタル署名に関するものなど、そのほか著作権法のような知的財産の保護に関する法律も含まれそうだ。法律は、そもそもなぜ作られたか、を知ることが基本になる。数字や用語などがあり、退屈だが憶える必要のあることもそこそこある。

さて、最後の開発管理。ここは、文書や人の管理や環境の整備などがその内容になる。技術的部分より、与件の読み取り方がポイントになるかも知れない。経験は重要だが、あまり経験に頼りすぎると的外れになる恐れもある。
posted by tamaso at 01:10| Comment(0) | TrackBack(0) | 受験戦略 | このブログの読者になる | 更新情報をチェックする

2005年12月17日

明日から、受験対策を再開します 〜 テクニカルエンジニア(情報セキュリティ)試験

システムアナリスト試験の合格者は301名、合格率は約10%だった。

合格率はもちろん受験者のレベルと出題された問題のレベルとの兼ね合いで変化するため、参考値ではあるが、やや高めであったのは事実のようだ。受験者が減少し、合格者が増加しているということは、この試験の「人気」が低下してきたためだろうか。逆に受験者は思い入れを強くしているということも同時にあるような気もする。

さて、次のテクニカルエンジニア(情報セキュリティ)試験だが、先に合格した情報セキュリティアドミニストレータ試験は平成14年と、かなり以前のこと。もっとも、今年は社内でこの試験対策を兼ねた勉強会の講師を10時間以上やったので、多少の知識はリフレッシュできた。準備も含むと倍の20時間ほど。情報セキュリティアドミニストレータ試験の受験勉強をやり直したようなものだ。

現状は、ネットワークやプログラミングの基本を入門書でやや遅いペースの勉強をしたところ。セキュリティに関する知識補充は、まだ足りない感じではあるが、基本が入ると後半のピッチは上がる。年内は、このペースになるだろう。来週からPerlにかかる予定だ。
posted by tamaso at 02:16| Comment(1) | TrackBack(0) | 受験戦略 | このブログの読者になる | 更新情報をチェックする

2005年12月03日

情報セキュリティの視点で見た、セキュアプログラミング

テクニカルエンジニア(情報セキュリティ)は、情報セキュリティアドミニストレータの立場とは異なり、より現場に近い場所で、また、テクニカルなスタンスでアプローチすることが多くなる。

情報セキュリティの対策を考える場合、まずクラッカーなどの手口から考える場合が多い。例えば、自宅のセキュリティなら、空き巣とか悪質セールスの視点で、この家ならどこが弱点かを考え、それから弱点に対策を打つ。また、どうされると「嫌だ」と感じるかということを考えて対策する。

プログラミングの現場は、まず「品質・コスト・納期」、QCDとも言うが、ここをベースに考えて仕事をする(ものだと思う)。品質には、安定性など、若干の「可用性」なども含まれるが、悪意ある第三者の存在は、意識はしていても主眼ではない。

従って、テクニカルエンジニア(情報セキュリティ)としては、クラッカーなら、この製品やプログラム、コンテンツをどう見るか、を知る必要がある。そういう理由であろうが、IPAの「セキュアプログラミング講座」には、手口が紹介されることになる。これは、ある意味、スクリプトキディとか模倣犯を生む危険性もあるのだが、それでも知るべきことではある。

ひととき、クラッカーとして、テキストを読み、それからセキュリティエンジニアに視点を移す。元・空き巣が防犯コンサルタントになるようなものだと思う。
posted by tamaso at 23:53| Comment(0) | TrackBack(1) | 受験戦略 | このブログの読者になる | 更新情報をチェックする

2005年11月03日

テクニカルエンジニア(情報セキュリティ)試験で、出るのかどうか気になる「セキュアプログラミング」

先日、テクニカルエンジニア(情報セキュリティ)のスキル標準が公開された。その中に「セキュアプログラミング」に、「言語」が含まれていた。それがどうも気になる。

試験を通じて、どういう技術者像が求められているかを考えると、プログラミング技術は全体のほんの一部分であることが分かる。

以下、次の資料を参照して考えてみた。
■出題範囲(平成17年10月版)
http://www.jitec.jp/1_13download/hani20051031.pdf
■情報処理技術者スキル標準
http://www.jitec.jp/1_17skill/pdf20050114/TS20051031.pdf

まず、前提として、テクニカルエンジニア(情報セキュリティ)は、実は開発や運用の主体ではなくて「支援者」として位置づけられていることがわかる。

さて、その中の午後の試験の出題範囲だが、

1 情報セキュリティのシステムの企画・設計・構築に関すること
2 情報セキュリティの運用・管理に関すること
3 情報セキュリティ技術・関連法規に関すること
4 開発の管理に関すること

実際に、プログラミングに関係する部分は、「1」のところ。ここのところは、他にも項目がある。公開された資料では、列挙という形で示されている。

情報システムの企画・設計・構築、物理的セキュリティ対策、アプリケーションセキュリティ対策、データベースセキュリティ対策、セキュアプログラミング、ネットワークセキュリティ対策、システムセキュリティ対策 など

本試験では、上の4項目の中から適宜、出題される。で、気になる「言語」の知識だが、どのあたりの位置づけかというと、全体の知識体系の中では、かなり深い部分にある。

実務知識体系
A. 情報システムのセキュリティ要件定義
B. 情報システムのセキュリティ機能の設計・開発
 1 セキュリティ機能の設計
 2 セキュリティ機能の実装とテスト
  1 セキュリティ機能の実装
   2.1.10 プログラミング(C++、Java、Perlなど)
   2.1.11 セキュアプログラミング
  2 システムテストの支援
  3 関連文書の更新
 3 セキュリティ機能の本番移行
 4 情報セキュリティ面からのレビュー
C. 情報システム運用時のセキュリティ管理の支援
D. 開発プロジェクトの管理

コア知識体系
E. 情報システムへの脅威と社会環境
F. 情報セキュリティ知識


試験は、深く掘り始めるとキリがない。もちろん、そういう問題が出ることも往々にしてあるのだが、上のAからD、EとFのバランスが肝心だ。

JITECでは、おそらく、何名かの委員を募って問題の作成にあたるものと思われる。メンバーは、想像するしかないが、学者や教授、役人、セキュリティに関連したプロ(設計や監査、コンサル)、などだろうが、そのなかに、プログラミングの権威みたいな先生がいると、出題される可能性が高くなるだろう。
posted by tamaso at 21:37| Comment(0) | TrackBack(0) | 受験戦略 | このブログの読者になる | 更新情報をチェックする

2005年10月28日

情報セキュアドとの違い その2

昨日は、概観だったが、もう少し詳細に見てみたい。まずは、一項目目だ。因みに、これはJITECの「出題範囲(平成17年9月版)」を引用したものだ。
http://www.jitec.jp/1_13download/hani20050901.pdf

1.情報セキュリティシステムの企画・設計・構築に関すること
   情報システムの企画・設計・構築
   物理的セキュリティ対策
   アプリケーションセキュリティ対策
   データベースセキュリティ対策
   ネットワークセキュリティ対策
   システムセキュリティ対策 など
 (TS)セキュアプログラミング
 (SS)情報戦略、開発管理

(TS),(SS)は、それぞれテクニカルエンジニア、アドミニストレータの差異部分、上は共通部分だ。因みに、差異部分「開発管理」は、テクニカルエンジニアでは別の項目として独立している。

まずは、システムの構築である。TSに「情報戦略」がないのは、既に開発の大枠は確定しているという前提なのだろう。現場により近い。代わりに「セキュアプログラミング」がある。これは、おそらくプログラミングそのものというより、セキュアな手法ということなのだろう。いずれにしても、参考として「ソフト開発技術者」のテキストが使えそうだ。

共通部分では、最初の企画・設計・構築は「思想(考え方)」として、あとは、各パートとも基本的な考え方、ということだろうが、これは「セキュアド」のテキストがそのまま使えるようだ。

こういう分析というか、比較をすると、なんとなく作戦が見えてくる。こういう時が面白い。とりあえず、テキストの物色をすることにしよう。


posted by tamaso at 23:55| Comment(0) | TrackBack(0) | 受験戦略 | このブログの読者になる | 更新情報をチェックする

テクニカルエンジニア(情報セキュリティ)と情報セキュリティアドミニストレータの違い

情報処理技術者試験センターでは、試験範囲が科目ごとに公開されている。これによって、両者の役割の違いが読み取れる。

午前は一表で公開されているので分かりやすいが、午後は一応、詳細に読む必要がある。まずは、おおまかな区分を見てみる。

■情報セキュリティアドミニストレータ
 1 情報セキュリティシステムの企画・設計・構築に関すること
 2 情報セキュリティの運用・管理に関すること
 3 情報セキュリティの技術・関連法規に関すること

■テクニカルエンジニア(情報セキュリティ)
 1 情報セキュリティシステムの企画・設計・構築に関すること
 2 情報セキュリティの運用・管理に関すること
 3 情報セキュリティの技術・関連法規に関すること
 4 開発の管理に関すること

4番目の「開発の管理」については、セキュアドでは1番「システムの企画・設計・構築」に含まれる。これを見ると、当然のことながら、セキュアドは直接には開発にかかわらないことが分かる。開発過程においても、さまざまなリスクが存在する。それらの分析と対策に、セキュアドもかかわることになるが、テクニカルエンジニアでは、開発過程そのものにかかわっていく。午後の問題には、「出るかもしれない」と、暗に示しているとも考えることができる。

また、3番目、セキュリティ技術には「セキュリティ応用システム」なる項目があり、ここは、かなり厚めの事項が示されている。技術者として、知識だけでなく、これらの技術を「使える」だけの適用能力が必要だとわかる。

作問者の立場になって考えると、サンプル問題でも見られる、適用の際の「留意点」というあたりが問題にしやすい。逆に、テキストにはしにくい部分なので、雑誌などの事例が参考になるかもしれない。
posted by tamaso at 00:51| Comment(0) | TrackBack(0) | 受験戦略 | このブログの読者になる | 更新情報をチェックする

2005年10月19日

科目にかかわらず、情報処理技術者試験に必要な時間と勉強量は、人によって異なる

人によって、ちょっと勉強するだけで合格したり、長くやっているのに不合格になることがある。なぜか。この「なぜか」が、受験対策の戦略立案には重要だ。

合格の水準となる知識とスキル、それぞれが必要なのだが、仮にその程度を「P」とする。既に獲得している知識・スキルもあるはずだ。これを「G」とする。もし仮に、G>Pなら、もういつでも受験して大丈夫である。が、たいていの場合は、この逆、G<Pからスタートだから、この差を勉強と訓練で補充するわけだ。その量「X」は、X>P−G となる必要がある。Pは、ほぼ一定なので、Gによって、勉強の量が違ってくるのだ。

このGは、これまた、同じ時間の勉強でも、人によって多い・少ないが出てくる。なぜか。
Gは、「獲得」した量であるから、概ね、時間と効率に比例する。効率は、教材の選択、自分との相性、更に集中力、自分自身の理解力などで変わってくる。また、勉強のステージや段階(似たようなものだが)で、教材の選び方も変わる。なかなか厄介なものだ。

さて、整理しよう。重要なことは、
・合格水準に足る、知識とスキルの確認
・現在の、知識とスキルの程度
これらは、試しに過去問を解いてみるとだいたい分かる。新制度試験では、例題があったので、それで確認してもいいし、他の科目で代用が利くかもしれない。
次に、勉強の量だ。これは、やってみないとわからないことが多い。テキストの出来が悪かったり、相性が悪かったり、難しすぎたり、いろいろある。が、ちょっと試してみて、先の戦略を立てなくてはならない。従って、この作業は早いほうが良い。
・適切なテキストの選択
・本試験までにこなすべき勉強時間
・集中できる環境の準備または選択
残念ながら、これらは人によって違ってくる。これが巧みな者が「受験巧者」といえるかもしれない。

ただし、裏技がひとつある。コーチ、教師を見つけるのだ。身近に「合格者」またはそれに相当するものがいれば、精度は格段に上がるだろう。
posted by tamaso at 23:52| Comment(0) | TrackBack(0) | 受験戦略 | このブログの読者になる | 更新情報をチェックする

2005年10月18日

テクニカルエンジニア(情報セキュリティ) 25週で、50のステップ

さて、秋の情報処理技術者試験も無事終了した。気分は、既に「春」、テクニカルエンジニア(情報セキュリティ)だ。というわけで、ざっとプランを考える。

本試験は4月16日。そこまで25週間、なんともキリの良い数だ。平日の5日間の活用と、週末2日間の活用、これを25週分、つまり50のステップで考えて、合格までのレベルアップ・スキルアップを考えることにする。今日は、アウトライン。

受験対策は、ある程度の知識・スキルがあるのなら、アウトプット、すなわち過去問からいきなり取り掛かるのが効率的だ。だが、今回の試験はやや無理がありそう。ネットワークの知識はせいぜい午前の試験に間に合う程度だし、データベースは「基本情報」以来、勉強していない。インプットをまずやって、それからアウトプットに掛かる、ややしんどいが、まあ、身のためということにしておく。

平日は、ざっと平均4時間頑張って、土日も経験上4時間ぐらいならとれる。8時間を25週、ということは何と、200時間もある。あの、中小企業診断士でも1000時間もあれば何とかなるといわれるのだから、200時間は十分だと思う。

インプットに10週、アウトプットに10週、これでも間に合いそうだ。ペースを見て、あとは調整してもいい。ネットワークに4週、データベースに2週、セキュリティに4週。まずはこれぐらいの時間配分で、早速スタートさせよう。

因みに、インプットはテキストによる知識補充。読むのと書いて憶えることも必要。アウトプットは、いわゆる答案練習、答練などと言うが、ここを手抜きすると、本番で時間が足りなくなる。なかなか侮れないのだ。

ということで、インプット用のテキストについては、また、次の機会に。
posted by tamaso at 00:42| Comment(2) | TrackBack(0) | 受験戦略 | このブログの読者になる | 更新情報をチェックする

2005年10月08日

情報セキュリティ 午前の試験区分

情報セキュリティがテーマの試験ではあるが、当然、「アドミニストレータ」と「テクニカルエンジニア」では、守備範囲が違う。従って、知識を試す「午前」の試験区分も少し異なる。

以下は、テクニカルエンジニア(情報セキュリティ)の試験区分で、UはVよりやさしい、という意味である。Tはないので、それなりに知識レベルは必要らしい。

コンピュータシステム U
システムの開発と運用 U
ネットワーク技術   V
データベース技術   U
セキュリティと標準化 V

ざっとみて、ネットワークとセキュリティが高度。これは当然で、あとはやや高度、ただし、ここには、以下の区分は含まれていない。つまり試験には出ない。

コンピュータ科学基礎、情報化と経営、監査

さて、この内容は何に近いか、というと、実はセキュリティよりもテクニカルエンジニア(ネットワーク)である。ネットワークに「データベース技術」を足すと、ほぼ午前は同じ内容になる。午前の受験対策を過去問で済ませるのなら、ネットワークの問題集で間に合いそうだ。
で、データベース技術は何と同等かというと、「ソフト開発技術」か「システム管理」。なるべくまんべんなく勉強するのなら、こちらは「ソフト開発」でおさえておくと間に合う。

というわけで、秋は受験しない、ということなら、今からでも準備は始められるわけだ。
posted by tamaso at 01:00| Comment(0) | TrackBack(0) | 受験戦略 | このブログの読者になる | 更新情報をチェックする

2005年10月07日

情報セキュリティ合格のための全体的な作戦

テクニカルエンジニア(情報セキュリティ)ではあるが、科目によらず、受験対策には一定の取り組みのセオリーがある。

実は、基礎体力というか、そもそも現在、どのレベルにあるかは重要なポイントだ。まったく何も知らないのと、既に合格レベルの知識と経験があるのとでは、受験対策に必要な時間は大きく異なるからだ。が、とりあえず、ゼロベースで考えてみる。

必要な要件は、だいたい次の三つの分野
・知識
 インプットで得られるもので、午前では開発やハード・ソフトなど、ある程度の幅を持った知識も必要だ。
・スキル
 アウトプット(解答、特に午後の問題)のために必要な、知識を問題・課題に適用させられる技術。訓練(過去問を数多く解くこと)で身につく。
・受験技術
 スケジュールの立案と実行、修正など。それに、モチベーションの維持とかテキスト・問題集を吟味する眼力も必要。また、試験本番の時の粘りとか、解答の手順・時間配分なども。いわば、受験対策のマネジメント能力で、不合格の原因は、主にこれができてない場合。

通信教育とか、スクーリングを利用する理由は、特に三番目の受験技術のアウトソーシングというか、サポートを外部に委託するわけである。前に書いたように、未経験の試験を受けるときは、テキスト選びとか、インプット・アウトプットの工数が読めないし、ペースも独学だととりにくくなってくる。

受験慣れしてくると、これがだいたい読めてくるので、あえて外部委託する必要はなくなってくる。まあ、仕事に役立たないわけではないので、それなりに頑張れば成果も恩恵もある。
posted by tamaso at 01:29| Comment(0) | TrackBack(0) | 受験戦略 | このブログの読者になる | 更新情報をチェックする

2005年10月04日

とりあえず、戦略を練る

「テクニカルエンジニア(情報セキュリティ)試験」といっても、半年以上も先のことで、実は目の前に「システムアナリスト(AN)」が控えている。

シスアナも、もう飽きるほど問題をこなしたので、本番まではマイペースでそこそこやって、とりあえず、次の情報セキュリティの受験作戦というか、戦略を立てることにする。

まずは「午前」だ。
今ある資格は、「プロマネ」「シス監査」「セキュアド」「基本情報」それに「シスアド」だ。

すなわち、「プロジェクトマネージャ(PM)」「システム監査(AU)」「情報セキュリティアドミニストレータ(SS)」「基本情報処理(FE)」と「初級システムアドミニストレータ(AD)」と、一通りやってきているので、午前対策といっても、それは「知識の補充」というスタンスになる。

IPAの「情報処理技術者試験センター」にある、出題範囲を見ていると、午前の受験に必要な知識レベルは、
・ネットワークについては、「テクニカルエンジニア(ネットワーク)」
・セキュリティについては、「情報セキュリティアドミニストレータ」
・その他の知識レベルは、ほぼ「ソフト開発技術者」
と同等のものが必要らしい。

ということで、まずはネットワークに関する知識の補充が最優先ということになりそうだ。

この分野は、先に取った資格では比較的「軽い」内容だっただけに、しばらくは苦労して憶えなくてはならないようだ。試験センターの「サンプル問題」もそこそこ難しい。今の知識では、まず歯が立たない。

知るは楽しみ、という「明るい」考えで臨むことにしよう。さしあたり、テキストは買ったが、その前にもう少しやさしい入門書を探すことにしよう。
posted by tamaso at 16:03| Comment(0) | TrackBack(1) | 受験戦略 | このブログの読者になる | 更新情報をチェックする

新試験区分『テクニカルエンジニア(情報セキュリティ)試験』創設

おそらく、この記事をご覧の方は、表題の新制度の存在は既にご存知かと思います。

テクニカルエンジニア(情報セキュリティ)試験
http://www.jitec.jp/1_00topic/topic_20050901_ts.html

従来の「情報セキュリティアドミニストレータ」は、利用者の立場から「リスク分析」や「情報セキュリティポリシの策定」、「セキュリティマネジメントの仕組みづくり」といったことを中心行うための、知識・スキルを問う試験です。

このテクニカルエンジニア分野では、システムの開発や運用、また、開発環境そのものの情報セキュリティシステムの構築・管理などが主眼となります。より、技術的に高度で実践的な知識やスキルの要求される試験になります。それだけに、挑戦のし甲斐もあります。

これから約半年間、このブログに行動を書き残して行こう思っています。
まだ見ぬチャレンジャーの皆さん、ともに頑張りましょう。
posted by tamaso at 14:26| Comment(1) | TrackBack(0) | 受験戦略 | このブログの読者になる | 更新情報をチェックする

広告


この広告は60日以上更新がないブログに表示がされております。

以下のいずれかの方法で非表示にすることが可能です。

・記事の投稿、編集をおこなう
・マイブログの【設定】 > 【広告設定】 より、「60日間更新が無い場合」 の 「広告を表示しない」にチェックを入れて保存する。


×

この広告は1年以上新しい記事の投稿がないブログに表示されております。