2006年02月06日

開発環境のセキュリティ 〜 テクニカルエンジニア(情報セキュリティ)試験対策

今日は時間がなくて、勉強は「眺めた程度」だ。そういう日もある。

セキュアプログラミング、については、技法であるとか不正に対する対策であるとか、微視的な内容が先行していたりする。実際には、試験範囲にも書かれているように、セキュアな開発環境というテーマもある。このあたりになると、テキストもフォローし切れていないようで、ポイントを押さえるには他のテキストにあたる必要がある。

http://www.ipa.go.jp/security/awareness/vendor/process.html

非常に荒い内容ではあるが、「設計」「プログラミング」「テスト」「設定」の4段階について「留意点」のような形でまとめられている。技法ではないが、午後の試験ではこのような留意点を一応念頭に置いておくのも良いと思う。

本試験では、現場のシチュエーションを想定した問題が「与件」として与えられる。セキュリティ担当の技術者やマネージャが、どこに目を配るかは、試験の読みどころといえなくもない。
posted by tamaso at 23:05| Comment(0) | TrackBack(0) | 受験技術 | このブログの読者になる | 更新情報をチェックする

2006年01月29日

フィッシング詐欺 〜 テクニカルエンジニア(情報セキュリティ)試験対策

問題集から、出版社オリジナルの問題。テーマは「フィッシング詐欺対策」だ。

設問は、SSLも含めて、フィッシング詐欺の基礎知識のような問題だ。そもそも、どのような被害があるのか、とか、どういう手口か、とかである。そのほか、ファーミングの手口にも触れている。

フィッシングについては、現実の社会でも深刻な問題になりつつある。去年だと「個人情報保護法」がらみは重要案件であったが、今年は、このあたりがヤマにはなりそうだ。

クロスサイトスクリプティングとかバッファオーバフローとか、セキュリティの定番のテーマというものは、あると思う。フィッシング詐欺は、いくつかの攻撃パターンと脆弱性の組み合わせでできる。ソーシャルエンジニアリングもからむ、やや複雑な仕組みが、巧みに利用されるわけで、試験問題としても作りやすいと思う。

出題者の視点で見ると、1問はフィッシング、あと、プログラミングあたりを入れておきたくなるのが最近のセキュリティの現場ではなかろうか。
posted by tamaso at 01:42| Comment(0) | TrackBack(0) | 受験技術 | このブログの読者になる | 更新情報をチェックする

2006年01月21日

テキスト選びについて 〜 テクニカルエンジニア(情報セキュリティ)試験対策

今日は「新年会」の名目で飲み会。勉強時間がとれなかった。ということで、適当に考えを書いてみる。

受験対策は、おおむね次のような目的で行うのではないかと思う。
1.合格に必要な知識で、現在不足している把握と補充
2.どの知識をどの場面、どの状況で適用すると良いかを学ぶ
3.時間内に解答できるだけの受験技術の獲得

ということであれば、1.に関しては出題範囲を確実に網羅していて、できれば「深さ」もあるテキストがふさわしい。ただし、「苦手」な部分が自分で把握できれば、教科書でなくとも、入門書でもインターネットでも、他の科目で使ったテキストでも間に合うものはいろいろあるだろう。

テキストをしっかり読む、ということは、知識のインプットの際には必要だが、「どこがわかっていないか」を把握するだけなら、ざっと目次から本文の斜め読みでも可能だ。このとき、テキストそのものに「穴」というか、範囲の抜けがあると、自分の弱点に気付かないままに本番を迎えることになってしまう。苦手・不足部分が分かれば、あとはしっかりインプットする。

さて、2.はどうか。よくできた問題集か、過去問(新設の試験は類似の過去問)を、「ゆっくり」解いてみるといい。過去に「小論文」が必要な試験を受けたこともあるが、実は、過去問(午後1)の内容がそのまま使えるということもあった。過去問は、知識を実践に適用する良い事例集だとも言える。残念ながら、ここは教科書ではなかなか間に合わない。

ここまでが、本来必要な知識・スキルの獲得方法になるのだと思うが、3.については、スポーツのようなものだから、今度は同じ問題でもいいが、時間を計って本試験環境で解答する。文字数もこのときに感覚をつかむことになる。

いずれにしても、受験勉強中は「まだ足りない」状態なのだから、点数というか、解答の「でき」についてあまり神経質になる必要はないと思う。むしろ、どこが不明でどこが明確になったかを、客観的に把握することが重要かと思う。
posted by tamaso at 01:09| Comment(0) | TrackBack(0) | 受験技術 | このブログの読者になる | 更新情報をチェックする

2006年01月12日

問題集を入手 〜 テクニカルエンジニア(情報セキュリティ)

テキストと入門書を中心にインプット学習を続けてきたが、ようやく問題集を入手できた。午前・午後とも揃っている。システム監査・システムアナリストの受験対策の際も使ってきた、なじみの問題集だ。

アウトプットは、今まで憶えた知識の定着、弱点のあぶり出しと対策、という、知識・スキル面の対策とともに、本試験でのタイムマネジメントや字数のチェックなど、受験技術を身に付ける場面でもある。

「スキル」といわれるものは、受験や技術だけでなく、語学でもスポーツでも、やってみて身に付けるのが基本だ。それも繰り返して。今の段階では、解答が合っていたか間違っていたかは、そんなに気にとめる必要はない。それよりも、知らなくて間違ったのか、知っていたのにその知識が使えなかったために間違ったのか、あるいは、使い方を間違ったのか、そういう「視点」が必要だ。現場であれば、いわゆるOJTのようなものと、言えるだろう。

既に一通り知識が身についているのであれば、問題集だけで残り3カ月を過ごすこともできるが、実際にはまだ足りない部分が多いし、セキュアプログラミングは、まるで不十分だ。
book2.jpg
posted by tamaso at 00:27| Comment(0) | TrackBack(0) | 受験技術 | このブログの読者になる | 更新情報をチェックする

2006年01月10日

情報セキュリティのガイドライン 〜 テクニカルエンジニア(情報セキュリティ)試験

テクニカルエンジニア、とは言うものの、「管理」や「教育」などという文字も出題範囲の中には見え隠れする。作問者にしてみれば、純粋に「技術」だけで問題を構成するのは難しいだろうし、現場ではさらに純粋に技術だけやればいいという状況も考えにくい。

ようやく問題集が出版されることになったが、「視点」という意味では、ガイドラインも参考にはなる。単なる「見出し」「項目」の羅列のようではあるが、網羅性ということでは一度目を通す程度のことをして、知識に欠落がないか、各項目の言わんとすることが理解できるかチェックするというのもいいだろう。全体の構成をいつも意識しつつ、詳細を理解するというのが基本だと思う。

http://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Audit_Annex01_1.doc
posted by tamaso at 23:49| Comment(2) | TrackBack(0) | 受験技術 | このブログの読者になる | 更新情報をチェックする

2006年01月09日

スキルは積み上げるしかない 〜 テクニカルエンジニア(情報セキュリティ)試験対策

合格点だけをなんとかしたいのなら、過去問を繰り返し数多く解くということでも何とかなるかもしれない。ある程度、基礎知識があれば、必要なものは実践適応力というか、試験会場での現場対応力ということになる。

現実には、このテクニカルエンジニア(情報セキュリティ)試験を見ると、「情報セキュリティ」という視点で、システムを横断的に扱うことになるから、すでにそういうい職場で仕事をしてる場合を除くと(そういう職場であっても、たいていの場合は)全体的な基礎知識がもともと足りていることは少ないだろう。

スキルとは「技能」であるから、いきなり高度な技能を手に入れるということは難しい。英語では既に抜群のスキルがあっても、スペイン語を学ぼうとすれば、まずは発音やアルファベット、挨拶のフレーズから、ということになる。同じように、プログラミングやネットワーク、データベースはもちろん、運営や保守ができるばあいでも開発や構築では勝手が違うし、人的な管理とシステムの管理では考え方も適用する技術も違う。ないものは、基本から積み上げるしかない。

ただし、システムの場合でも、共通の知識・スキルもある。スペイン語は初めてでも、イタリア語やポルトガル語の素養があれば、より短期間で習得できるように。

おそらく、問題集がそろそろ出てくるタイミングだ。明らかに不足している知識・スキルは、今すぐにでも補強して良いが、それが分からない場合は問題を解くことで知ることもできる。あとは時間との勝負になる。
posted by tamaso at 23:02| Comment(0) | TrackBack(0) | 受験技術 | このブログの読者になる | 更新情報をチェックする

2005年12月26日

inspireさんへ 〜 テクニカルエンジニア(情報セキュリティ)試験と情報セキュリティアドミニストレータ試験について

はじめまして。

新制度ということもあって、情報とか資料が少なく、対策もなかなか苦労しますが、両者の違いについて、自分なりの解釈は次のようなものです。

情報セキュリティアドミニストレータ(SU)はユーザーの立場、テクニカルエンジニア(SV)は技術者(と言っても開発者ではないですね)の立場、というのが基本ですから、SUは「規定と運営」、SVは「実装と運用」という感じでしょうか。

従来は、情報セキュリティに関する試験というと、情報セキュアドしかなかったため、技術者に要求される知識やスキルもある程度は試されたかも知れません。今後はもう少し明確な区別がされるものと思います。SUは、基本的には「リスク分析」や「マネジメント」が本来中心になると考えられます。基本方針を立て、組織の技術的・人的な「防御の仕組み」の作戦マップを作る、ということでしょうか。最近の試験では、技術的なスキルも試されていますが、むしろリスクの在り処やマネジメントのほころび、ルールの欠陥などを見つけて指摘する、という問題も数多くあるようです。

一方、SVは、技術の選定や適用が中心ですから、リスクというよりも具体的な攻撃のパターンや手法の把握と、それらに有効な対策の選定、セキュリティホールの指摘や対策の死角を見つけて穴埋めをする、などでしょうか。実際には、設計・開発から運用まで含まれるため、かなり広範囲な知識が必要になりそうです。また、法律や基準もセキュアドだけに求められるものではなさそうで、基本となるものは一通り憶えておく必要があると思います。

過去問による演習は、必ずしも試験範囲をカバーしていないかも知れませんが、「読む」「考える」「書く」という、記述式・論述式の基礎体力を養うには良い材料といえそうです。最初は時間通りに仕上げるのではなく、時間をかけて与件(問題)と設問の構造をまとめるところから始めるのが良いと思います。過去問は、構造的には良くできていますから、慣れれば本番ではアンダーラインを引くだけで構造が見えてくるようになるでしょう。

演習の際は、解答の間違いに注目するよりも、なぜその解に至ったかに注目して矯正するようにすると、本番での対応力がつくと思います。この手の試験は、知識やスキルのほかに「受験技術」も必要です。技術は憶えるものではなく、練習して身につけるものですから、少々退屈な練習になるかもしれませんが、やっただけの力はつくはずです。

posted by tamaso at 23:56| Comment(1) | TrackBack(0) | 受験技術 | このブログの読者になる | 更新情報をチェックする

2005年12月23日

テキストの「幅」と「深さ」について 〜 テクニカルエンジニア(情報セキュリティ)のテキスト選び

受験対策は、テクニカルエンジニア(情報セキュリティ)試験であれ、情報セキュリティアドミニストレータ試験であれ、要するに合格点が取れるだけの知識とスキル、それに受験技術の習得が必要となる。そのための道具は、何も「教科書」「問題集」と名のついたものだけが対象ではない。とはいえ、まずは教科書である。

さて、教科書選びの視点には何が必要なのか。つまり、教科書に、何を求めるのか、どのような機能があれはいいのか、ということである。このテーマにあたっては、網羅性というものを重視したい。まず試験の「世界観」というか、全体の地図を見通せるか、である。

教科書に限らないが、こうした書籍には「幅」と「深さ」という要素がある。専門書は、ある意味、幅を極端に狭くして、深さを充分にとっている。しかも、ある程度深い部分から書き始めているわけだ。入門書は、幅は狭く、浅いところから書き始め、適当な深さでとどめている。では、教科書はどうか。基本的に、本試験での解答をイメージして欲しい。60%が合格点であれば、10の質問のうち6つを完璧に解答する戦略で行くか、10答えるが6割以上の内容を狙うか。現実的には後者がより現実的な方法ではなかろうか。であるならば、知識・スキルレベルで「空白」があることは、本試験に臨む際の大きなリスクとなる。

教科書は、まず全体像をきちんと押さえるために用い、不充分な部分は入門書(6割以上の知識であれば、専門書は必要ないかもしれない)で知識の充実を図るというのが、適切な作戦ではないか。

現実に、その教科書が世界を網羅しているかの吟味は、目次が参考になる。ただし、自分自身のなかに、既に世界地図がなければ吟味は難しい。その代用は、本来、試験機関が発表している「試験範囲」になるだろう。もっとも、情報セキュリティに限らず、ITにはトレンドというものがあるから、その部分の補完があればより良いということになる。余裕があれば、その部分はネットや雑誌の見出し(見出しで充分だと思う)でフォローすればいい。

後は受験勉強だが、
 全体の把握 → 対策の必要な部分、不要な部分、補完程度で済む部分の見分け → 知識の補充 → 演習問題で確認(教科書に戻っても良い) → 対策の繰り返し

こんな感じだろう。本試験で「まったく見たことがない」問題が出題される可能性もある。演習問題は最低7割、できれば8割以上の解答(午後問題は解答数ではなく完成度)を目指したい。
posted by tamaso at 22:14| Comment(0) | TrackBack(0) | 受験技術 | このブログの読者になる | 更新情報をチェックする

2005年12月18日

「高度情報処理技術者試験」の論文対策に 〜 説得力のある長文を書くための参考書

テクニカルエンジニア(情報セキュリティ)試験には出題されないが、高度情報処理技術者試験を受験する人には、ひとつの難関となる「小論文」。いくつかのスキルを必要とするが、そのなかで、特に「書く」のが苦手な場合には役に立つかもしれない。

合格水準の小論文を書き上げるためには、もちろん、出題されている内容をちゃんとつかむ、というのが前提だ。ここを外すと、どんな論文も合格には至らない。書く前に、何が書かれているか、をしっかりとらえる。

さて、経験があり、アイディアもまとまった。あとは、文章にするだけ、なのにうまく書けない。書くためのスキルの獲得には時間が掛かる。本試験では、もうどうすることもできないだろう。従って、準備段階で練習が必要というわけだ。ただし、困難なことではない。やってなかっただけなのだから、やれば済むという練習だ。

さて、樋口氏といえば、「頭がいい人悪い人の話し方」で有名だが、論文の添削も長くやっている。はじめは200字で、論理的に主張する短文の構成法。何度か書かないと身につかないが、ここまでくると、次は400字。方法は200字の場合と異なる。が、これも難しいことではなく、「型」を憶えて適用させる練習をすれば、やがて身につく。場合によっては、400字でも1時間掛かるかもしれない。が、なれれば、簡単に、論理的な文章が書けるというわけだ。

400字がまとまるようになれば、あとは、2000字でも4000字でも、ネタが増えるだけで構成は同じなので書けるようになる、というわけだ。

書くことは「スキル」だから、学習ではなく練習で身につく。この本は、読むだけでは役に立たない。リンクに価格がないのは、新刊だからだろうが、既に販売されている。


posted by tamaso at 23:18| Comment(0) | TrackBack(1) | 受験技術 | このブログの読者になる | 更新情報をチェックする

2005年12月17日

NONAMEさんへ 〜 テクニカルエンジニア(情報セキュリティ)試験の受験対策について

コメント、ありがとうございます。

今までの試験は、テキストをとりあえずちゃんとやる、問題集で答案練習を繰り返す、パターンでだいたい間に合っていました。実際には、以下のようなガイドラインというか、指標があるので、それに基づいて対策するのが基本なのでしょう。

http://www.jitec.jp/1_00topic/topic_20051031.html

情報セキュリティについていえば、いくつかの階層があり、そのイメージを持って対策に取り組んだ方が、構造的な理解が可能になると思います。

ベースになるのが、「セキュア・プログラミング」と「ネットワーク・プログラミング」ということのようです。その上に階層には、対策技術が並ぶわけです。例えば「暗号」「OSセキュリティ」「ウィルス対策」「セキュリティプロトコル」「認証」などなどです。テクニカルな対策の更に上位には、「セキュリティ運用」「セキュリティマネジメント」がある、と。

知識は、下からの積み上げ式で習得すると、堅牢な知識体系になります。ということで、私の場合、ネットワークだのプログラミングの基礎を、入門書から始めたわけです。技術的なことは、テキストで勉強することで間に合いますが、運用面・管理面のスキルは、より実践的ですから、問題集などで対策するのがいいと思います。

質問にあったデータベースは、午前対策としては押さえておく必要がありますが、午後対策としてはプログラミングの上位、SQLの不正コードチェックとかアクセス権限の奪取についての対策などで関連してくると思われます。
posted by tamaso at 22:02| Comment(10) | TrackBack(0) | 受験技術 | このブログの読者になる | 更新情報をチェックする

2005年12月12日

受験勉強の環境について 〜 テクニカルエンジニア(情報セキュリティ)

テクニカルエンジニア(情報セキュリティ)試験に限らず、過去、いろいろな試験に取り組んできたが、今のスタイルでほぼ落ち着いている。

システム監査は、平成16年と17年の2回、受験したのだが、その時、ほぼ2年前ぐらいから、コーヒーショップを利用するようになった。それ以前、中小企業診断士とか情報セキュリティアドミニストレータ試験の時も、ときどきは利用していたが、常時使うことになったのは、システム監査ぐらいからだ。

最も集中できる環境は「図書館」ではあったが、土日に限られるし、席の確保に苦労することもある。コーヒーショップは、深夜まで営業する店が便利で、だいたいワンセット2時間を目安にしている。集中可能な時間が、1時間ぐらいなので、科目やテキストを変えて2時間という計算。

ざわついた店内なのだが、図書館の物音や話し声ほどは気にならない。かえってざわついた方がBGMのようなものになるのだろう。それでも、昼間は混雑する店も、さすがに夜間は少し空いている。よく見ると、結構、勉強している人が多いのに気づく。これも刺激になる。
posted by tamaso at 00:22| Comment(0) | TrackBack(0) | 受験技術 | このブログの読者になる | 更新情報をチェックする

2005年12月05日

情報処理技術者試験の午後試験について

テクニカルエンジニア(情報セキュリティ)試験に限らず、一部の科目を除くと、情報処理技術者試験は、午後が「記述式」になる。記述式、というより、読解式と言ってもいい。

中小企業診断士試験では、二次試験が同様に記述式だが、こちらは80分で600字とか800字とか、とにかく字数が多いのだが、情報処理技術者試験では比較的短く、20字から60字程度。実は、この文字数では書くことが限られるのでごまかしは利かない。とはいえ、書く時間は短くて済む。ポイントを絞れるか、が課題だ。

実際、一つの問題に7、8問ほどの設問しかないわけで、6割以上の得点を得ようとすると空白があるとかなり難しい。完全な解答を6割以上狙うより、6割以上の内容の解答を全部の設問で狙う方が、合格にはより近いと思う。

システムアナリストやシステム監査の午後1の試験は、知識よりも思考力がものを言うが、テクニカルな科目になると、やはり適用できる技術的な知識の量が必要になってくると思う。情報セキュリティアドミニストレータだと、その中間か。今、取り組んでいるテクニカルエンジニア(情報セキュリティ)だと幅広く、やや深く、というのが目標だろう。

具体的には、得意な分野はテキストをざっと読んでみて、知識を構造的に組み上げる。記憶を確かなものにするわけだ。そして、苦手な部分や知識の不足する部分は、テキストで読んでも分からない部分を抽出(ノートにキーワードを書き出すなど)して、入門書などで補強する。テキストに書かれてある用語や文章の意味が取れるぐらいにはしておく必要があるだろう。

弱点が多いということは、それだけ多くのことを憶えなくてはならないということ。当然、時間管理もよりシビアになる。場合によっては、「見切る」必要もあることになる。
posted by tamaso at 23:54| Comment(0) | TrackBack(0) | 受験技術 | このブログの読者になる | 更新情報をチェックする

情報処理技術者試験の午後試験について

テクニカルエンジニア(情報セキュリティ)試験に限らず、一部の科目を除くと、情報処理技術者試験は、午後が「記述式」になる。記述式、というより、読解式と言ってもいい。

中小企業診断士試験では、二次試験が同様に記述式だが、こちらは80分で600字とか800字とか、とにかく字数が多いのだが、情報処理技術者試験では比較的短く、20字から60字程度。実は、この文字数では書くことが限られるのでごまかしは利かない。とはいえ、書く時間は短くて済む。ポイントを絞れるか、が課題だ。

実際、一つの問題に7、8問ほどの設問しかないわけで、6割以上の得点を得ようとすると空白があるとかなり難しい。完全な解答を6割以上狙うより、6割以上の内容の解答を全部の設問で狙う方が、合格にはより近いと思う。

システムアナリストやシステム監査の午後1の試験は、知識よりも思考力がものを言うが、テクニカルな科目になると、やはり適用できる技術的な知識の量が必要になってくると思う。幅広く、やや深く、というのが目標だろう。

具体的には、得意な分野はテキストをざっと読んでみて、知識を構造的に組み上げる。記憶を確かなものにするわけだ。そして、苦手な部分や知識の不足する部分は、テキストで読んでも分からない部分を抽出(ノートにキーワードを書き出すなど)して、入門書などで補強する。テキストに書かれてある用語や文章の意味が取れるぐらいにはしておく必要があるだろう。

弱点が多いということは、それだけ多くのことを憶えなくてはならないということ。当然、時間管理もよりシビアになる。場合によっては、「見切る」必要もあることになる。
posted by tamaso at 23:52| Comment(0) | TrackBack(0) | 受験技術 | このブログの読者になる | 更新情報をチェックする

2005年12月03日

テクニカルエンジニア(情報セキュリティ)試験の受験対策テキストを購入

内容は、情報セキュリティアドミニストレータ試験の対策テキストとかぶる部分もあるが、概ね、技術寄り。

受験対策という意味では、午後1と午後2試験で、合格レベルの解答ができれば良いと言えなくもない。勉強法は、人によってやり方が違っても良いのだが、そのひとつのタイプには、一冊を徹底的に使うというのもある。範囲外の問題には対応できないように思うが、テキストが完全に頭に入れば、それなりの「見識」というものができる。これが「現場対応力」につながることもある。つまり、初めて見る問題でも、解答の方向性がなんとなく見える、ということ。

まあ、根が凝り性なのでこれで済まない、というのが本当のところではあるが。プログラミングと並行して使ってみることにする。問題集は、来年でも良い。

4798110272.09.LZZZZZZZ.jpg
posted by tamaso at 00:35| Comment(2) | TrackBack(0) | 受験技術 | このブログの読者になる | 更新情報をチェックする

2005年12月01日

情報処理技術者試験の一番効率的な学習方法は、書くことかも知れない

かなり睡眠不足がたまってきていて、テキストを読むのが辛い。テクニカルエンジニア(情報セキュリティ)試験からは少し遠い、プログラミングの足場固めだが、さすがに読んでいても頭に入らないので、書くことにした。

対象は、Javaの基本を最初から。テキストでいうと三分の一ぐらい、ポイントを1時間ほど掛けてノートに書き取る。書くと、一応、要点がどこかがよく分かるのと、手を動かすことで眠気も去る。

ということで、構文の基本はざっと頭に入ったようだ。自らプログラミングするのが目的ではないので、この程度でもいいと思う。明日は、この感じで「構造化」のポイントをまとめることにする。ここが分かれば、もう一度、セキュアプログラミング講座に戻る。

今日は、システムアナリストの解答例が公開された。情報セキュリティアドミニストレータ試験の午後の試験の解答例も同様に公開されたが、いずれ詳細に見てみたい。
posted by tamaso at 00:05| Comment(0) | TrackBack(0) | 受験技術 | このブログの読者になる | 更新情報をチェックする

2005年11月30日

テクニカルエンジニア(情報セキュリティ)試験のテキスト選びについて

システムアナリスト試験が済んで、約一カ月半、テクニカルエンジニア(情報セキュリティ)試験対策ということで、割と手広く勉強している。方向としては、ほぼ、以下のような感じだ。

1.全体的な把握
2.ネットワークの基礎(TCP/IPなど)
3.プログラム言語の基礎の基礎

テキストには、概ね三つのタイプがあると思う。

ひとつ目は、問題集といった方が良いかもしれないが、主に弱点の発見と本試験の解答技術を身につけるためのもの。これは、本試験を想定した問題を解くことに主眼を置いたものだ。今回のテクニカルエンジニア(情報セキュリティ)試験は新設であるから、もちろん過去問がない。サンプル問題のほかには、よく似た関連科目の過去問で対応することになるだろう。問題集もそのうち出るとは思うが。

ふたつ目は、知識とスキルの整理を中心とした、体系的な編集のもの。全体的な難易度は、初学者にはやや難しく、既に仕事や過去の経験の中で、ある程度の知識とスキルがある者が使うのに便利なものだ。また、弱点の発見と対策にも使える。ざっと読んでみて、ほぼ理解できるようであればふさわしいといえる。ただし、テクニカルエンジニア(情報セキュリティ)対策として、まだ最適の(午後対策の)テキストは、まだ出てないようだ。

みっつ目は、残念ながら一冊のテキストでは間に合わないのだが、いわゆる入門書。今の知識・スキルのレベルでは、まだまだ本試験には足りない場合、これが必要になる。このテキストは、はじめがやさしく、徐々に用語や基本的な知識を習得し、後半は応用力を身につけるところまであるものもある。また、基本で終わるものもある。これを済ませて、上のテキストにあたることになるわけである。読みやすいものを選ぶ、というのがポイントだろう。


試験は本来、現在の知識・スキルレベルの検定が目的なのだろうから、入門書から勉強するというのは少し違うような気もする。あえて言うのなら、自分自身のレベルアップが目的で、その確認のために試験を活用するということなのだろう。試験でなくとも、目標があれば、努力を続けやすいのだ。
posted by tamaso at 00:12| Comment(2) | TrackBack(0) | 受験技術 | このブログの読者になる | 更新情報をチェックする

2005年11月17日

ぷりんさんへ 情報セキュリティというか、情報処理技術者試験の勉強について

コメント、ありがとうございます。長くなりそうなので、記事にすることにしました。

・テクニカルエンジニア情報セキュリティ午前 精選予想600題試験問題集
・テクニカルエンジニア情報セキュリティコンパクトブック―情報処理技術者試験

この2冊は、店頭でざっと見ましたが、午前の試験対策用にはいいかな、という風に思います。午前の対策方法はいろいろありますが、手ごろな一冊があれば、それを何度か繰り返してマスターするというのがシンプルでいいと思います。2種の経験があれば、詰めて1カ月、というところでしょうか。私も、最初は午前から始めて、テキストが出揃ったら午後の対策を、と考えていましたが、結局、逆の手順でやってます。とりあえず、不安なネットワークを基本から積み上げて、年内には技法をざっと一通り、という予定です。

それから、プログラミングですが、「情報セキュリティプロフェッショナル教科書」で、基本の基本を読んだところですが、内容が浅いので、IPAの「セキュアプログラミング講座」をテキスト代わりに読むことにしました。「〜プロフェッショナル」は、網羅的にまとまっていますから、午後対策のスタートにはいいと思いますが、本試験対策には、もう少し深いテキストが必要かと思います。このあたりは、サンプル問題を解いてみて感じました。

コストをあまり考えないのなら、「すっきりわかった〜」は、私には手ごろな内容です。ネットワーク関連の知識の補充は、これをメインに進めています。年が明けると「問題集」が出てくると思いますので、3カ月前ぐらいには演習にかかりたいと思っています。
posted by tamaso at 00:02| Comment(1) | TrackBack(0) | 受験技術 | このブログの読者になる | 更新情報をチェックする

2005年11月11日

テクニカルエンジニア(情報セキュリティ) 午後2試験サンプル問題 (3)

テクニカルエンジニア(情報セキュリティ) 午後2問題のサンプル問題の3回目。

いよいよ設問と直接関係する部分を読み進むことになる。「リモートアクセスの検討」は、設問1の「リモートアクセスについて」と、関連する。

登場する2名のエンジニアは、A社からシステム構築の依頼を受けたB社のエンジニアである。D氏はベテランの先輩、C君はまだ見習いというところだ。

冒頭、WEPを使った暗号化の説明がある。C君は安全だと判断したようだが、D氏は問題があると言う。確かに、WEPの脆弱性は既に一般的に知られている。設問は、この点を知っているかを問う問題だ。前半は、空白のある会話があり、専門用語の知識が試されるとともに、WEPの脆弱性についても空白が埋められるかどうかで確かめられる。

a.利用者が同じ値を使用し、WEPキーやローミングに用いられるもの、とある。
b.WEPキーとIVから生成される系列とは何か。
c.無線で送られる伝送フレームが、どうなると、キーストリームが同じになるのか。
d.同じキーストリームの伝送データ同士の排他的論理和は、何同士の排他的論理和と同じなのか。
e.伝送フレームのIPアドレスを変更し、平文データを送信するということは、伝送フレームを「どうする」という意味か。

文の前後関係から、このような意味として解釈できる。また、同一のWEPキーを使用する場合、暗号解読せずに同一のキーストリームの使用が判明するとあるが、その理由は、である。

さて、ここでWEPの脆弱性を確認したい。

問題文では、実は「あえて」ISPが提供する、無線LANサービスを取り上げている。これは、たとえばHOTSPOTのような、ファストフード店やホテルのロビーなどで、不特定多数の人が利用できるサービスである。こういう場合、特にWEPは無力化されやすい。

WEPについては、図1にあるように、WEPキーとIVでキーストリームを生成する。IVの長さは24ビットである。この24ビットIVは、そのまま伝送フレームに「生」で見えている。したがって、2の24乗、すなわち約1677万フレームを受け取ると、同一のIVが現れ、そこから暗号がほころびる。一見、大量のフレームに見えるが、ここで、ISPのサービスというキーワードが生きてくる。不特定多数の利用者が常時、このサービスを利用していると、1677万フレームは大量ではなくなる。数時間のモニタにより、同一のIVが理論的にも発生するわけである。あとは、D氏の説明(空白はあるが)の通り、キーストリームが推定され、暗号は解読されてしまう。

彼らが、SSLを使い、セキュリティの高い暗号を利用したのはそのためである。ここで、解答の方向が定まったわけだが、解答用紙への記入は後でも良い。先に読み進むことになる。

このように、WEPに対する、やや深い知識(少なくとも、問題文のD氏レベル)が必要であることがわかる。また、テクニカルエンジニアに求められる、「適用能力」もここで試されるわけである。SSLに切り替えるというところまでが、現場でのエンジニアに求められる。ここはスキル要件での「要件定義」にも関係している。
posted by tamaso at 00:54| Comment(0) | TrackBack(0) | 受験技術 | このブログの読者になる | 更新情報をチェックする

2005年11月10日

テクニカルエンジニア(情報セキュリティ) 午後2試験サンプル問題 (2)

サンプル問題として、テクニカルエンジニア(情報セキュリティ)午後問題が出題されている。今回は、その解釈の2回目。前回の続きだ。

さて、設問までは読み終え、問題文にかかることにする。問題文を読む際には
設問の内容を踏まえて読むことが重要。読んでいる途中に、いろいろと解答の
「ヒント」あるいは、「解答そのもの」が見つかる。また、解答の方向性が示
される場合もあるので、それぞれ、アンダーラインなどでマークしておく。本
試験では、カラーのマーカーは使えないので、シャープペンシルの使い方で、
マークの意味を決めなくてはならない。

もう一度、おおまかに確認しておく。
・各小見出しによる、問題文の構成
  システム要件
  リモートアクセスの検討 (図1 WEPの伝送フレームの概要)
  社員認証の検討     (図2 社員の認証フロー)
  会員認証の検討     (表1 ECシステムのWebサーバのドメイン名)
  システム構成の検討   (図3 ECシステムのネットワーク構成)
              (表2 L3スイッチの仕様)
  システムの試験

・設問のテーマ
  設問1 リモートアクセス
  設問2 会員の認証
  設問3 システム構成
  設問4 電子メールの不正中継の回避
  設問5 会員情報の保護

システム要件
これは、この問題の全体に関わる、システム構築の前提になる。
直接、設問に関わらないこともあるが、解答の際には前提事項として考慮すべ
き内容になることもある。整理しておくと良い

 Webページ 1.不特定多数に公開するページ 
        2.会員が利用するページ(認証後にアクセス)
         ※安全かつ利便性を損なわない「仕組」

 電子メール  不特定多数から受信

 掲示板機能  不特定多数の参照が可能
         ※担当社員が、質問・苦情に対し迅速に対応する

 無線LAN  担当社員が外出中に使用して、リモートアクセスする
        プロバイダによる無線LANサービスを活用
        1.掲示板の変更・削除
        2.会員情報にアクセス
         ※厳格な認証が必要

ここでは、不特定多数の利用するページ、電子メール、それに、社外から無線
LANによるリモートアクセスに、なんとなくリスクが潜んでいるように見え
る。他にも、会員情報とか、掲示板のリスク、なども想定できそうだが、とり
あえず、立ち止まることなく、先を読み進める。次は、無線LANの問題点が
設問と関係してくる。ここは長くなるので、更に次回に。
posted by tamaso at 00:20| Comment(0) | TrackBack(0) | 受験技術 | このブログの読者になる | 更新情報をチェックする

2005年11月05日

情報処理技術者試験の午後問題対策について

テクニカルエンジニア(情報セキュリティ)だけでなく、午後問題がいわゆる「記述式」の場合、慣れていないと「時間切れ」とか「字数不足」などという事態が生じる。

時間が足りないのは、書き慣れていないか、問題文の中からポイントが見つけ出せていないケース、それと、解答すべき知識が足りていない場合だ。知識のことは勉強して憶えるのが基本だから、効率よく勉強すること、またの機会に。

さて、書き慣れるとか、読み慣れるとかは、過去問を繰り返しこなしていけばいいのだが、この場合、先の「知識」と両方で引っかかる場合があり、書く・読むのスキルにややブレーキがかかる。書く・読むのスキルは、次の方法などが手軽で、かつ、訓練の進捗度が把握しやすい。

新聞の社説や解説、雑誌のコラム、短い論説文など、あるテーマについて語っている記事を使う。多少のボリュームがあったほうがいい。これを100字、50字、などで要約する。読むのに何分、書くのに何分、これも記録するつもりでチェックする。

午後問題は、読み書きのスキルも問われる試験になる。エンジニアとして実務能力があったとしても、書いて証明するしか方法はないので、読み書きの能力は身につけておく必要がある。もっとも、これは、仕事や他の試験でも役立つ。私の場合、中小企業診断士試験の受験の際に時間をかけで訓練したが、後の試験でももちろん役立っている。テキストも対策本も必要ないので、すぐにでも始めたらいいと思う。
posted by tamaso at 23:31| Comment(0) | TrackBack(0) | 受験技術 | このブログの読者になる | 更新情報をチェックする

広告


この広告は60日以上更新がないブログに表示がされております。

以下のいずれかの方法で非表示にすることが可能です。

・記事の投稿、編集をおこなう
・マイブログの【設定】 > 【広告設定】 より、「60日間更新が無い場合」 の 「広告を表示しない」にチェックを入れて保存する。


×

この広告は1年以上新しい記事の投稿がないブログに表示されております。