2005年11月01日

セキュアプログラミングが試験範囲に含まれるようだ

情報処理技術者試験センターのサイトが更新された。テクニカルエンジニア(情報セキュリティ)試験の、「出題範囲」と「情報処理技術者スキル標準」が追加された。この内容から、「プログラム言語」が試験に出される可能性があることを表明された。言語は、「スキル」であるだけに、訓練を必要とする。知識を積み重ね、更に、訓練も重ねる必要があるとなると、かなりタフな訓練が必要になるかもしれない。

さて、上記に直接関連はしないが、IPA(情報処理推進機構):セキュリティセンターでは、「セキュリティエンジニアリング」として、ソフト開発者向けのページが用意されている。ここに、この試験の特にセキュアプログラミングに関する指標が見えなくもない。以下に、目次を示しておこう。

目次
1. セキュリティ脆弱性の低減
2. セキュアプロトコルと相互運用可能性確保
3. セキュリティ機能の実装
4. セキュアな動作環境(オペレーティングシステム等)
5. 利用しやすさの向上
6. セキュリティイベント説明能力の確保
7. ソフトウェア開発プロセスの成熟
8. セキュリティ脆弱性情報の取扱い
9. 「基準」
10. 関連組織へのリンク
11. セキュリティエンジニアリング全般に関する参考文献

これだけ眺めてもよく分からない。詳細に見て、勉強の方針を考えることにする。
posted by tamaso at 01:13| Comment(0) | TrackBack(0) | 受験技術 | このブログの読者になる | 更新情報をチェックする

2005年10月30日

テクニカルエンジニア(情報セキュリティ)受験対策テキスト、2冊目

先に使っていた「TCP/IP」は、そろそろ修了。次の1冊を準備した。

テキストと言っても、ネットワークの入門書だ。
情報セキュリティには、さまざまな切り口があるのだが、特に項目が多く、適用させるべき技術の多いのが、ネットワークのセキュリティ対策だと思う。

災害や障害は、どこからでも襲ってくるが、人はネットワークを辿って侵入したり、ネットワークを通してさまざまな仕掛けを送り込んできたりする。ここの対策は、セキュリティのキモではあるが、試験のキモでもありそうだ。

ここばかり勉強していてもダメだが、しっかり押さえておく必要はあると思う。

 第1部 LANのセキュリティを保つには
 第2部 凶悪ウイルスの秘密を探る
 第3部 個人情報保護法対策ガイド
 第4部 無線LAN防衛最前線
 第5部 フィッシング詐欺の傾向と対策
 第6部 ファイアウォールと検疫ネットワーク

4-7561-4632-5.jpg
posted by tamaso at 23:07| Comment(2) | TrackBack(0) | 受験技術 | このブログの読者になる | 更新情報をチェックする

2005年10月29日

ある意味、情報セキュリティ受験対策本

テクニカルエンジニア(情報セキュリティ)の受験対策には、テキストがあると便利ではあるが、まだ決定版らしいものがない。やや深め、やや広め、ということはかなり分厚いテキストになりそうなのだか、こういうものある。

実は、読んだからといって、どうということもなさそうなのだが、発行者が少々気に掛かる。「IPA」とある。本試験の実施は「情報処理技術者試験センター」だが、その上位の組織が「情報処理推進機構」、すなわち「IPA」である。しかも、この試験は同機構のイチオシの試験のようなのだ。

役所の作る試験だ。参照する必要はありそうに思う。

dokuhon.JPG

posted by tamaso at 21:59| Comment(0) | TrackBack(0) | 受験技術 | このブログの読者になる | 更新情報をチェックする

2005年10月22日

情報セキュリティの知識もスキルもあるのに、なぜ合格できないか

情報セキュリティアドミニストレータ、あるいは、テクニカルエンジニア(情報セキュリティ)、どちらも、更に、他の科目でも、午後の試験は「記述式」だ。

問題を読んで、解答を考えたら、規定の字数で書き込む。いずれのステップにおいても、合格に足る力がないと不合格になる、ということだ。しかも、時間内にだ。技術者としての知識・スキルがあれば、30分の試験を2時間かけて解けば、おそらく正しい解答が出せるだろう。

少なくとも、選抜試験のように上位を選ぶ試験ではないので、要するに自分との戦いというか、作問者との勝負になるわけである。力を付ければ、合格できるのは間違いない。ただし、技術的な知識・スキルだけでは足りない、ということだ。短時間に読み取って、短時間に適切な字数で書く、ということが併せて必要だ。

ただし、テキストには、その訓練方法までは書かれていない。今回は、簡単に。

新聞記事でも、テクニカル系の雑誌記事でも、普通の週刊誌みたいなものでも良い、てごろな文章を用意する。テキストは先に要点が強調されているので、避けて、平文で書かれたものが良いだろう。ポイントをマークしてみる。ラインマーカーの線で、ほとんど埋まってしまったら、要点が絞れていないし、マークするのに苦しむようなら、これも読み方に問題がある。

記述式の設問は、3問から4問程度。従って、本試験の問題では、ポイントは4、5カ所。つまり、設問に対する解答は、このポイントから適用すべき技術というか、解を導出するということになるのだ。短時間にポイントを見つけ出すには、訓練するしかない。

posted by tamaso at 20:13| Comment(0) | TrackBack(0) | 受験技術 | このブログの読者になる | 更新情報をチェックする

テキストをバラす〜情報処理技術者試験全般に対する対策アイディア

テクニカルエンジニア(情報セキュリティ)に限らず、情報処理技術者試験のためのテキストは、いずれも分厚い。システムアナリストやプロジェクトマネージャなどは、午前対策のテキストと午後対策で分かれていたりするし、また、問題集も使うとなると、かなりな厚みとなる。

問題は、これを図書館などで気合入れて勉強するときは良いのだが、会社の往復に持ち歩くとなると、重さや厚さが障害になって、つい、おっくうに、そしてまた、読む機会を失う。

テキストは、できれば「肌身離さず」持ち歩くぐらいでも良いわけで、そのためにどうするのが良いか。以前に、システム監査技術者試験を受けるときに用いたのは、各章ごとにバラすということだった。実際には、問題集だけをそうしたが、これで相当な時間がとれたのは事実だ。

テキストを汚したり痛めたりするのが嫌だ、という人もいるだろう。しかし、使ってこその教材である。どうすれば、いつでも持ち歩けるかを考えると、まんざら悪い方法ではないと思う。できれば、電子書籍などで提供されていれば、こんなことをしなくても良いのだろうが。
posted by tamaso at 02:13| Comment(0) | TrackBack(0) | 受験技術 | このブログの読者になる | 更新情報をチェックする

2005年10月20日

情報処理技術者試験合格のためのポイント

受験勉強を始めた頃は、当然のことながら知識・スキルとも合格レベルにはない。さて、どういう人が合格レベルに到達するのか。

もし、それが「才能」というような、生まれつきのようなものや長期間にわたってようやく獲得できた能力であるなら、既に受験勉強を始める前から、合否・当落が確定していることになる。だが、実際はそうではない。

「行動様式」という言葉があるが、ある事象や課題に対して、どのような行動をとるか、これが合否を分ける。もう少し具体的に言うと、「今、何をするか」あるいは「次に、どう行動するか」によって当落が決まる。経済的には多少の差があるとしても、時間はほぼ平等にある。今ある時間と金を何に使うか。本当にやりたいこと、本心から成し遂げたいこと、それに時間と金を使えるかどうか、行動様式とは、そういうことだと思う。

蛇足だとは思うが、一発で合格した方が、時間も金も大いに節約できる。
posted by tamaso at 23:34| Comment(0) | TrackBack(0) | 受験技術 | このブログの読者になる | 更新情報をチェックする

2005年10月19日

情報処理技術者試験の知識習得は、全体 → 詳細 のプロセスで

たとえば、OSI参照モデル。ネットワークの勉強を始めたばかりの頃には、なかなか頭に入らない。

まず「7つある」というところから憶えるのと、下から(上からでもいいが)順に憶えるのとでは、全体をつかんでから憶える方が、記憶に定着しやすい。

知識のインプット段階、つまり、憶えるという段階では、最初から順に読み始める前に、全体をつかむことをすると良い。テキストが6章に分かれているのなら、まず六つのタイトルからざっと憶える。更に、各章の内容も、見出しを眺めて全体を把握する。

全体の枠組みをきっちりと固めてから、段階的に詳細に迫る。そうすることで、知識の不足や習得した部分が自分でも分かり、苦手・得手、対策の方向も見えてくる。

それに、何が足りないかを自分で意識できるだけでも、気分的に余裕が生まれるものだ。
posted by tamaso at 01:26| Comment(0) | TrackBack(0) | 受験技術 | このブログの読者になる | 更新情報をチェックする

2005年10月17日

「システムアナリスト 午後U」の筋書き

先の、午後Tに続き、午後U。模範論文とはいかないのだが、筋書きというか、骨子をまとめてみる。

問1 情報システム部門の人材確保と育成計画について、である。つまり、経営戦略のなどの企画機能を、情報システム部門に求められるようになってきており、その人材をどう調達・育成するか、というテーマ。

本文をよく読むと、「こういう流れで書いて欲しい」というヒントが書かれてあることがわかる。今回は、他の2問と選択に悩んだが、比較的具体的に書きやすいこのテーマにした。ヒントとして、「職位区分・キャリアパス」「他部門・外部機関とのローテーション」「資格取得奨励・ITスキル標準の採用」「人材育成体系の整備」「採用・処遇の見直し」が本文にある。これを、頭の中でざっとあらすじにして、あとは書きながら考えることにする。

背景 変革とは、危機的状況にこそ求められる。どういう危機的状況を想定するかが、このあとの文章を面白くする。ドラマ的手法だ。今回は、情報システム部門を子会社として独立させている例にした。従来は、親会社の言う仕様どおり開発すればよかったが、本社が戦略重視の事業展開に切り替えてきて、単なる開発は外注で間に合うようになってきた。生き残りには、本社と同様に戦略思考のできるSEが、本社とともにシステムの開発をする、が至上命題となった、と。

調達 人材育成がすぐに効果を現すはずがないので、まずは、スキルを持った人材を調達することが急がれることになる。社外からの調達は、経験者でないとリアリティある文章にならない。社内から調達するのに、部門が差し出すわけもない。そこで、最初の工夫。社長直轄の部門を作り、「社内公募」することにした。「幸いにも」、優秀な人材がいた、と。彼らには、早速、本社の戦略会議に出席させることにし、危機的状況を凌いでもらうことになる。更に・・・

育成 公募の際、目安として「資格」を考慮したが、以後、資格取得にインセンティブを与え、社員の自己啓発を促すことにする。公募メンバーには、業務外の自主勉強会の講師として、資格取得のサポートをしてもらう。何せ、危機的状況なので、2年の限定で、社員には業務外で頑張ってもらうことにする。ただし、合格すれば「ご褒美」がある。頑張り甲斐はある。これが2番目の工夫だ。

ここまできて、まだ字数に不安があったので、追加として「キャリアパス」を考えた。先に2件は緊急事項、これからの部分は長期的展望に基づく。パスは3本立てで、技術者として専門家を目指すルート、経営コンサルタント的な道を行くルート、チームのリーダーとしてのマネージャールート、の3本だ。もちろん、提案はするが検討は人事部門の仕事だ。

更に、勉強会を研修会に格上げし、外部講師を招く、本格的な人材育成制度に仕上げる。公募メンバーは、多忙になっているはずだからだ、たぶん。このあたりは、書きながら、先々を創作しているわけだ。インセンティブは、初級シスアドにも付ける。これは、いきなり難しい資格は無理でも、軽いものを取得できれば、自信につながって上を目指す、という前提だ。このあたりは、三つめの工夫なのだ。

評価 ここまでやって、さて、どうだったかの評価である。自分でよくできたも、構わないが、社長が「人材も揃ったし、下請けだけではもったいない。仕事を取りにいくか」と、欲を出させる形にした。ハッピーエンドにしたい。課題は、いつまでも公募メンバーに育成を頼めないので、ちゃんとした人材育成部門が、そろそろ必要だと思う、ぐらいでまとめた。

最後は、蛇足だったが、「もともと本社の戦略の理解が目的の人材育成だったが、彼らは、自社の戦略を考えられるまでに至った」と。
posted by tamaso at 00:07| Comment(0) | TrackBack(0) | 受験技術 | このブログの読者になる | 更新情報をチェックする

2005年10月16日

「システムアナリスト 午後T」を受験

5分ほど残したが、ほぼ時間一杯を使って、シスアナ(情報処理技術者試験)を受験した。まずは、午後Tの解答速報的分析など。

午後Tの試験は、4問出題のうち3問を解答という形式だ。これは、平成13年の制度変更から以降は変わっていない。

今回は、営業戦略が2問、それから保守サービス、システム部運営だった。マーケティングの2問とサービス業務は、いずれも企業と顧客との関係で、経験もあり解答はこの3問にした。

問1 新規開拓業務をアウトソーシングするという例。セールスの電話やDMは、関心のない者にとって迷惑だが、新規開拓は、まずここからスタートが基本。これを外注し、見込み客を発注元につなぐというもの。設問は、見込み客としての見極め方を三つ、顧客情報管理システムで表示されるアプローチの履歴の活用方法、それから外注先の評価指標(顧客との関係の良化活動、提案・商談活動)、である。解答の手がかりは文中にあり、特別な業種の知識などは不要だ。

見込み客としての見極めは、文中からも読み取れ、・アプローチ先が自社の製品を利用する可能性があるかどうか ・先方の担当責任者の選出は正しいか ・先方の反応は良好か という方向で解答した。

また、アプローチの履歴の活用方法だが、外注先から自社の営業が引き継ぐ際、アプローチの過程に断絶があっては、先方との関係が悪くなる、不信感を持たれる、などの不具合が考えられる。履歴によって、先方の課題や興味の内容を引き継いで営業の話題の柱にする、という方向での解答とした。

評価指標は、関係良化の活動については資料送付の状況やその後の電話・メールでのアプローチの件数、提案・商談活動は商談案件として認定した件数を目安とする、を解答した。


問2 空調設備のサービス業について。保守契約をしていても、故障が起こる。また、スポット対応に非効率的な部分がある例だ。情報管理システムの導入とリモート監視で故障を事前に検知したり防止したりする。設問は、リモート監視によって故障対応の時間を短縮させる方法、収益改善のための保守支援システムの活用方法を二つ、予防保守のために遠隔監視・保守支援システムのそれぞれに追加すべき機能だ。

故障対応の手順で問題があるのは、部品の手配のタイミングだ。一旦、現場で故障の内容を確定させてそれから部品を調達する。部品到着までの手待ちは時間のロスだ。したがって、リモートである程度の故障内容の確定をさせ、部品を持って現場に向かうのが正しい。

また、収益改善は、言い換えれば費用で無駄な部分を圧縮することと言える。時間によって外注先であるサービス会社に費用を支払っているが、時間がかかるのは対応が下手なためで、決していいサービスとは言えない。同じ故障案件なら、時間によらず同一の費用を支払う。また、部品の調達をサービス会社でバラバラに行わず、発注元一社で行うことで、スケールメリットのコストダウンにつながる。こういう解答とした。

予防保守は、故障する前に手を打つための保守。どうやって予測するか、である。本文から、稼働時間の累計と故障の傾向分析により、予測ができそうであることがわかる。稼働時間の累計は遠隔監視システムの機能として、傾向分析はデータベース機能のある保守支援システムに分析機能を追加することで可能となる、と考えた。


問4 証券会社のマーケティング戦略。ネットで展開する企業が増える中、出題された企業はむしろ対面での営業を得意とする。Webとコールセンタは時代の流れとして設置はしたが、他社と比べると見劣りする、というもの。同社のターゲットとする顧客と商品を揚げる、同社の経営資源の有効活用と顧客に提供すべき情報、それに、Webやコールセンタを営業活動には使わない理由、コールセンタを使ったライフプラン(人生設計に基づく投資計画)サポートとWebとの連携方法、が設問として出された。

商品はもちろん株式・投資信託の長期運用プランで、顧客は人生設計などに基づく投資計画として証券の運用を考えている人、となる。

同社の強みでもある経営資源として、文中にファイナンシャルプランナと著名アナリストが見られる。それぞれの提供する情報とは、前者が資産運用相談、後者は個別銘柄の株価動向分析ということになる。

Webやコールセンタを営業に使わないのは、それで他社と競争しても見劣りがして勝てないからで、それと裏返しになるが、強みである対面営業を活動の柱にしたいからである。また、コールセンタでのアドバイスとWebを連動させるとなると、ちょうど、あたかも対面で相談しているように、コールセンタと顧客とで画面を共有しながら、いろいろとシミュレーションしてみせる、というシーンになる。これを表現すれば良いと考えた。

以上が、午後Tの解答として考えたことである。後日、試験センターから指標が示されるので、突合せしたいと思う。
posted by tamaso at 21:11| Comment(0) | TrackBack(0) | 受験技術 | このブログの読者になる | 更新情報をチェックする

2005年10月14日

情報処理技術者試験 午前・午後対策の勉強法(テクニカルエンジニア編) (3)

引き続き、午後U対策の話。

作文の技術、というか、「書く」ことに慣れてきたら、内容についても考慮することになる。とにかく、試験本番は、原稿用紙に書かれてある文章のみが評価の対象であり、内容が試験の要件に合致しているかどうか、それのみが試されるといっていい。

「問」で提示されている内容を書くことは当然であるが、もう一歩、踏み込む必要はある。採点者も人である以上、退屈な文章や読みにくい(文字も含めて)文章は読んでいても集中できないし、そうなると、採点も厳しくなってしまう。

なかなか面白い文章を書くということもできないのだが、読みたくなる文章というものは確かにある。それは、問題解決のプロセスであり、それこそが「工夫」したり「障害に苦労」したりという部分である。システム導入に対する現場の激しい抵抗、限られた時間とコスト、移行困難な古いデータやシステム、など、これらが物語のスパイスとして、文章を読ませるものにする。

過去問を読み、丸暗記するのではなくて、そういう「仕掛け」に注目して、自分自身の経験に照らすということも、実は必要だと思う。
posted by tamaso at 01:14| Comment(2) | TrackBack(0) | 受験技術 | このブログの読者になる | 更新情報をチェックする

2005年10月13日

情報処理技術者試験 午前・午後対策の勉強法(テクニカルエンジニア編) (2)

システムアナリストの本番試験が近づいていて、まだ、テクニカルエンジニア(情報セキュリティ)に掛かるわけにいかない。

とりあえず、同じ情報処理技術者試験ではあるが、シスアナと次の情報セキュリティとでは、対策方法はかなり異なる。まあ、午前は、(1)で書いた通りでいいので、おなじ方法でいいのだが。今回は、とりあえず、シスアナというか、「高度」の対策を少し。

特に、エンジニアの苦手なのが、プロジェクトマネージャとかシステム監査の試験で出題される、午後U、つまり小論文ではなかろうか。

論文のテーマとか、マネージャや監査の視点とか、具体的な工夫など、採点の対象はそういう部分ではあるが、その前にやるべきことがある。それが「苦手」な作文ということになる。

なぜ苦手か、は、割と明確ではないかと思う。まずは、3千字もの作文である。長文を書く、というのはそれなりに訓練が必要で、しかも短期で獲得しにくいスキルだ。更に、「できてる」のか「できてない」のか、自分で判断できない、ということが原因だろう。

合格しようとする気なら、しかも、作文が苦手なら、克服するために訓練するしかない。訓練といっても、書く、ということなのだが、読む、も必要。とりあえず、良い模範論文を読むといいかもしれない。内容は後回しで、リズム感とかストーリー性とか、読んでいて面白いと感じられるようなものが良い。採点者も人だから、表現力で内容がごまかされることもある。話芸なら「口写し」とか言うのだろうが、文章は「書き写し」が基本。読んで気に入ったら、書き写すのも実は効果がある。

作文が苦手な人は、ハンデがある。それでも仕方ない、獲得したスキルは、他でも便利使えるから、そういう気で頑張るのもいい。
posted by tamaso at 01:02| Comment(0) | TrackBack(0) | 受験技術 | このブログの読者になる | 更新情報をチェックする

2005年10月12日

情報処理技術者試験 午前・午後対策の勉強法(テクニカルエンジニア編) (1)

大雑把に言うと、午前は知識を、午後はスキルを問う試験だといえる。

一口に「難しい問題」といっても、二つの方向がある。

【問1】日本で二番目に高い山はどこか。

これは、知らないと答えられない。もちろん、四択では知らなくとも目の前に正解が示されているわけで、運良く選ぶことができれば正解にはなる。

【問2】必ずうそをつく「うそつき」か、必ず本当のことを言う「正直」のどちらかが分かれ道に立っている。いずれであっても、あなたの行きたい町を教えるように質問をせよ。

これは、知識では答えられない。少々難しい問題ではあるが、だれでも正解するチャンスはある。もっとも、同じ問題に出会った経験があれば容易に答えられる。

スキルを試される午後の試験は、対策が少し厄介なのがわかる。ただし、スキルは訓練で身につけられる。この話は次回に。

午前は、とにかく多く憶えた者が高得点を取りやすい、ということになる。特に、繰り返し同じ問題が出されることもよくあり、準備は「数をこなす」のが基本である。過去4年分の問題、これでも200問以上になるが、この程度を、間違いなく解答できればまず心配ないだろう。ただし、50問で60分から90分ほどの時間がかかり、解答の確認もあるから、200問を通してやるだけで、5、6時間、これを3回繰り返すと20時間程度になる。

これを、できれば2カ月で仕上げると、後半は午後対策に十分な時間がとれる。1日1時間をあて、1カ月間まじめにやれば時間的には足りる。ただし、「さっぱりわからない」ということもある。その場合、テキストで知識の強化をする必要がある。これは、人によって異なるが、1カ月はみておきたい。ということは、これで時間的には「丁度」ということになる。

ということで、午前の対策は、まず過去問を揃えること。それと、欠落している知識を補充するためのテキストが必要ということになる。
posted by tamaso at 00:15| Comment(0) | TrackBack(0) | 受験技術 | このブログの読者になる | 更新情報をチェックする

2005年10月06日

初学者にテキスト選びは無理

資格試験に限らずだが、受験勉強を独学でする場合、テキスト選びは非常に重要だ。ところが、テキストの良し悪しは、ある程度の知識やスキルがないと判断できない。

つまり、テキスト選びが最も重要な初心者にとって、最適のテキストを選ぶ術がない、ということになる。身近に受験経験者や知識・スキルのある人がいる場合、テキスト選びを任せるというのが良い方法ではある。

もっとも、「テクニカルエンジニア(情報セキュリティ)」は、今春、初めて実施される科目なので、まだ店頭にテキストが並んでいないし、種類も少ないかも知れない。その場合、発売を待って目に付いたものを買うか、それとも今あるテキストを組み合わせて使うことになる。

以前に受験した「情報セキュリティアドミニストレータ」試験は、平成14年ということもあり、テキストも種類が少なく、とにかく手当たり次第に買って、肌の合うのものからこなしていった。三カ月ほどは非効率的だったと思う。

今回は、基礎がある程度固まったので、テクニカルエンジニア(ネットワーク)と、一般書を使って、まずは弱い部分の強化をすることにした。これなら今からでも始められる。年内にはテキスト・問題集も出揃うと思うので、本格的に取り組むのは、そのころになる。

posted by tamaso at 01:09| Comment(0) | TrackBack(0) | 受験技術 | このブログの読者になる | 更新情報をチェックする

広告


この広告は60日以上更新がないブログに表示がされております。

以下のいずれかの方法で非表示にすることが可能です。

・記事の投稿、編集をおこなう
・マイブログの【設定】 > 【広告設定】 より、「60日間更新が無い場合」 の 「広告を表示しない」にチェックを入れて保存する。


×

この広告は1年以上新しい記事の投稿がないブログに表示されております。