2006年06月13日

不合格でした

午前問題は685点、午後1問題が560点、この時点で不合格が確定した。半年あまり、短くない期間をこの試験のために使ったことを考えると、結果は残念の一言に尽きる。

もっとも、サンプル問題に初めて取り組んだときには、TCPとUDPの違いも分からなかったわけだから、それだけのゲインがこの期間にあったのは事実だと思う。時間とコストをかけて何を得たかといえば、それだけの知識を得た、ということになる。

さて、敗因である。受験後の感想として「攻撃者の視点」に触れたことを憶えているが、勉強を通して、様々な技術・手法を憶え、その使い方も憶えられたのだろうが、その「隙の突き方」や「弱点への攻撃」の視点が足りなかったのだと思う。

セキュリティは防衛システムの体系である。しかし、完璧な防衛システムが存在しないように、磐石と思えるセキュリティシステムであっても、弱点は存在する。「脅威」とは、その「脆弱性」を攻撃するわけだ。ここの視点が勉強で強化できていなかったのだろう。

それで、次の春試験だが、ちょっと予測がたたない。その時期は、というか受験期間は、予定では今以上に多忙なはずで、時間は他に使ってしまうことになっているだろう。予定が狂い、時間がとれるようであれば、再挑戦したい。
posted by tamaso at 17:55| Comment(20) | TrackBack(2) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2006年04月14日

あと1日 〜 テクニカルエンジニア(情報セキュリティ)試験対策

今日は図書館で半日、あとはコーヒーショップで、と思ったが、平日夕方は混雑していたため、場所を移動して、1時間だけ。

午後2を2問、午後1は適当に何問か、という程度。一度は解いた経験があるとはいえ、要点が以前よりは見えてきたように思う。

本試験、特に午後の試験は時間との勝負とも言える。考える時間や思い出す時間ではなく、設問で問われている「意図」や、与件に隠された「問題点」を、どれだけ短時間で見つけ出すか。また、それらを記憶(マークするのもある)し、設問に適用するということだろう。

いまからスキルを獲得することは難しい。明日は、知識の補充や確認、全体の整理ということになる。
posted by tamaso at 23:38| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2006年04月12日

テキストでまんべんなく 〜 テクニカルエンジニア(情報セキュリティ)試験対策

今日は代休がとれたので、図書館で。目次と中身で、全体をつかむように気をつけて読み進む。

テキストを読み始めると、どうしても「微視的」な読み方になってしまうのだが、今の時期は、常に全体の中の位置づけでインプットすることが肝心だと思う。午後の試験は、「全然分からん」という状態では空白は埋まらないが、「自信はないが、こんなことだろう」ということならば、とりあえず答案として書くことは出来る。

以前に、システム監査の午後1試験で、自信がないために空白の解答欄を作ってしまったのだが、この差が、合否を分けるという悔しい思いをしたことがある。方向性があっていれば、知識が足りなくても部分点ということもありうる。その数点が最後に利いてくる、そういうことが多いだろう。

とりあえず、全体を知る、つまり、苦手は作らない。その後は、得意な部分の強化、でもいいと思う。
posted by tamaso at 23:56| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

目次をざっとながめて思ったこと 〜 テクニカルエンジニア(情報セキュリティ)試験対策

今日は東京出張。帰りの「のぞみ」でテキストを読むが、遅々として進まず。仕方ないので、目次だけでもと眺めてみる。

各章の構成は、ネットワーク中心なのでこれだけでは不足感があるが、一応、次のようなもの。

第1章 情報セキュリティの基礎
第2章 攻撃手法と対策
第3章 情報セキュリティにおけるぜい弱性
第4章 情報セキュリティ対策技術(1)侵入検知・防御
第5章 情報セキュリティ対策技術(2)認証
第6章 情報セキュリティ対策技術(3)暗号

1章と2章は、テクニカルエンジニアというよりセキュリティアドミニストレータに近い。また、4章以降は、よくある技法の解説だが、これも一通りという感じ。ただし、3章だけは気をつける必要がある。

これもネットワーク関連が中心ではあるが、技法ではなく、チェックポイントみたいなものだ。セキュリティの「ほころび」がどこに現れやすいか、ということなので、これは本試験では問題にしやすい。

「〜について、問題点が2つある。それは何か、また、その対策を…」

というパターンは、まず問題点を見つけることから始まるわけで、これは案外、専門書でも手法が中心のものだと書かれていない。パスワードの正しい管理方法は知っていても、与件に書かれた管理方法ではなぜいけないのか、は、経験が必要になるわけだ。現実には、予想問題や過去問によって獲得できなくもない。が、これは効率が悪い。

要するに、技術者のスキルとは、問題の本質を見抜く力、ということなのだろう。それが見えてくると、ようやく技法・手法を適用するのだが、これは実はそう難しくない。
posted by tamaso at 01:03| Comment(0) | TrackBack(1) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2006年04月09日

午前問題とプログラミングなど 〜 テクニカルエンジニア(情報セキュリティ)試験対策

夜更かしがたたり、今日も予定の時間は確保できず、4時間あまりを充てる。とはいえ、予定より進行は早いので間に合いそうには思う。

午前問題は、60問ほど。まだ不明な用語があり、そこの取りこぼしがいくつか。これは憶えるだけのものなので、一通り片付けたら、ノートでもとりながら復習ということになる。用語やプロトコルは際限がないので、いまのところは問題集の範囲でとどめることにする。

さて、午後問題は今日は手をつけずに、プログラミングのテキストを読む。「精読」というような読み方ではなく、ざっと、ポイントの整理だ。プログラミングに関する知識は、一般的な甘い設定やプログラミングによる「脆弱性」の把握と、比較的安全な(漏れのない)「対策」のポイント、の2つの範囲に収まるだろう。脆弱性は、具体的な攻撃手法とペアになる。使ってはいけない関数とか、注意しておくべき設定などだ。

また、対策については、もちろん上の脆弱性と関係するが、どのタイミングでどの手法や関数・キットなどを用いるか。よくある入力データのチェックでも、エラーで戻すかサニタイジングで逃げるか、いつやるか、チェックの方法は安全か、などをチェックしておく。

テキストのつもりで買ったセキュア・プログラミングが最近面白くなってきた。「感覚」というか「感性」というか、そういうものを得るにはいいかもしれない。
posted by tamaso at 22:39| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2006年04月08日

とりあえず、相手を疑う 〜 テクニカルエンジニア(情報セキュリティ)試験対策

ネットワークによって、サーバとクライアントはつながる。攻撃を目論む者は、サーバから、あるいは、クライアントから、不正なコードを相手に送り込む。

相手を、とりあえず疑うというのも、セキュリティの基本的な考え方だ。おおむね、企業のセキュリティ技術者は、まず、情報の保護を考えるとサーバを守ることを考える。

が、それだけではない。現在では、SEが仕事を持ち帰り、営業はファミレスで仕事をする。彼らがはたして正式な企業のサーバだけに接続するかどうかは、疑問である。もちろん、指導はするのだろうが、ここでも、とりあえず疑う必要がある。

彼らが不正なコードを送り込むサーバに接続することは、ありえない話ではない。彼らのモラルだけでリスクをヘッジできるものではないので、当然対策が必要になる。技術的なものと管理的なもの、大抵の場合は「教育」など、管理的手法があげられるが、技術的な手法でガードする。これも技術者の仕事だといえよう。

うっかり訪れたサーバには、クライアントのほとんどの情報が「足跡」のように残される。それを前提に考えておく必要はある。
posted by tamaso at 23:10| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

ようやく時間捻出 〜 テクニカルエンジニア(情報セキュリティ)試験対策

今日は2時間、しっかりと時間が確保できた。というわけで、午前対策は40問。うち、20問はセキュリティ分野に踏み込んで。

セキュリティ関係の問題は、一応「満点」狙いでやってみたが、計算問題とプロトコルの一部で取りこぼす。計算問題は、まあ、うっかりというか横着な計算をしたためのミス。気をつけよう。プロトコルは、少々厄介で、とにかく種類が多いのと、優先順位がやや不明確だ。このあたりは、時間も残り少ないが、繰り返し解いて憶えるしかないと思う。憶えきれないものは諦めるというのも選択肢だ。

さて、後半の1時間は、データベース系のセキュリティ。実際はSQL関連ということだ。SQLというと、すぐに思いつくのは「SQLインジェクション」。これに関しては、事前に入力をチェックするのとサニタイジングが基本。他のインジェクション問題と異なるのは、SQLに限定されていることもあり、先にチェックをする、という点。

大抵の場合、出力(表示)の際にチェックやサニタイジングをするのが基本になるが、今回は先にやっておく。

そのほか、権限の調整がある。アプリケーションで利用するアカウントは、データベース管理用のものとはちゃんと使い分ける、ということ。事象が発生しても、被害を押さえ込めるように設計しておく。また、ID・PWは、スクリプトやプログラムの中に埋め込まない。外部を参照する方法がある。

Perlは、この手の問題が出題されれば、与件などに現れるだろうが、現実には注目する点は、プログラミングやコーディングの部分ではない。
posted by tamaso at 00:26| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2006年04月05日

今日は休む 〜 テクニカルエンジニア(情報セキュリティ)試験対策

今日は診断協会の研究会などいろいろで、時間の捻出はできず。それよりも、飲んでて勉強ができるわけもない。

平日は2時間、土曜日は8時間、日曜は7時間、これで週に25時間ということになる。平日といえども時間は大切な資源だと言える。無駄にはできない。

時間が押したときは、どうしても寝る時間に負荷がかかるのだが、これは「借金」のようなもので、翌日には「利子」がつく。つまり、勉強の効率が落ちるのだ。眠いと集中力が足りなくなり、特に「読む」力が極端に落ちてくる。書くための意欲もはっきりと減退が実感できる。

時間とか、睡眠とか、また、いろいろな予定のコントロールは、それなりに精神力が必要となるのだが、そのためには「目標設定」がとても重要だと思う。いつまでに、どれだけやるか、これをきちんと(数値として)設定しておくことで、現在の進捗状態や差異が明確になる。

勉強が進んでいないと、なんとなく焦ったり、いらいらしたり、場合によっては諦めたりするものだが、これは目標設定が曖昧だからだと思う。思うように進捗していない「らしい」が、どれぐらいの遅れかが分からないと、頑張る目安が見えないからだ。プロジェクト・マネジメントの基本でもある。

本試験が、最後の5分の差で合否を分けるように、これからの10日間の使い方が合否を分ける場合もある。最後の最後、試験会場に向かう電車で読んだ問題で助かることもあるのだ。
posted by tamaso at 22:59| Comment(3) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2006年04月04日

Webの基本と午前対策の2回目 〜 テクニカルエンジニア(情報セキュリティ)試験対策

東京出張があり、いつものコーヒーショップの滞在時間は出張から戻ってから1時間。新幹線の車内では集中しにくいが、そちらはとりあえずテキストを読むぐらいで済ます。

テキストは、Webに関連したセキュリティの押さえどころを一通り。ざっと、次のポイントが頭に入っているか、だ。午後問題として作りやすい切り口ではある。

1.入力データのチェックをクライアント側スクリプトに頼っていない。
2.全ての入力データからHTMLタグとなりうる文字「<」「>」を取り除いている。
3.HTMLにデータを埋め込む際には必ずHTMLエンコーディング(「<」「>」「&」「"」「'」→「<」「>」「&」「"」「'」の置き換え)をしている。
4.保護が必要な全てのページにユーザ認証機構を組み込んでいる。
5.事前に推定可能なセッションIDを用いていない。
6.重要なデータのキーをURLのクエリストリングで受け渡していない。
7.hiddenフィールドでデータを受け渡していない。
8.WWWブラウザから送られてきた<SELECT>の<OPTION>項目の値,ラジオボタン項目の値,チェックボックス項目の値についても入力チェックを行っている。

ざっと眺めて、「あぁ、そのことか」程度の理解でいいかも知れない。

午前は、40問。計算問題などは手間取ることになるが、本試験でも時間のかかる問題になるだろう。もっとも、計算問題は「知識問題」ではなく「スキル問題」なので、知っていると侮っていると失敗する。何度か、同じ問題でも手を動かして解いておく必要がある。一旦身につくと、逆に加点問題になる。

明日は、診断協会の研究会のため、時間はほとんど取れない。体調を整えることを考えよう。
posted by tamaso at 23:57| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2006年04月03日

まずは、1日目 〜 テクニカルエンジニア(情報セキュリティ)試験対策

会社の仕事は、土曜日に出勤して一段落。今日は定時退社して、受験対策をする。

午前問題は、IT全般の基礎という範囲だが、得手/不得手というか、分野によって出来る/出来ないがはっきりしている。間違えた部分は、その場で解説を読んで補修する。これでも改善は30%程度だろうか。手始めの20問は、ややてこずって60%程度のできだった。

もう1時間は、C++の対策。「特訓」とまではいかないが、BOFのほかにメモリリークやsystem()関数など、これはSQLインジェクションとよく似ている。まあ、手口というものもパターンがあるようで、慣れるとこの辺りが見えてくるのだろう。

明日は東京に出張なので、時間は1時間に短縮される。車内でテキストが読めれば、その分は補強ということになるが、新幹線の車内は環境としては良好とはいえない。あてにはしないで、できれば儲け物というスタンスで臨む。
posted by tamaso at 22:42| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2006年03月25日

結局1問だけ 〜 テクニカルエンジニア(情報セキュリティ)試験対策

寝不足がたたり、今日は集中することはおろか、五分ともたず眠くなる。どうにかこうにか、午後問題を1問、形だけ片付けたといったところだ。こういうときは仕方ない。明日、再起をかけるということで無理はやめた。

さて、いまさらとは思うが、プログラミングに関する分野は、テキストも内容がうすく、問題集もボリュームに欠けるので、入門書で補強する。もともとエンジニア向けのものなので、用語とか展開はやや飛ばし気味の内容だか、今の知識なら難解ということもない。逆に、この内容が難解に感じるようでは本試験も怪しいと言えるだろう。とにかく、これは読むだけだが、できればノートにまとめるなど、効率的なインプットを目指したい。

posted by tamaso at 22:43| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2006年03月23日

プログラミングは、ネットとローカルに分けて考える 〜 テクニカルエンジニア(情報セキュリティ)試験対策

午後1は今のところ1日1問のペース。午後2に慣れると、これぐらいではやや手応えが弱い。あわせて、セキュアプログラミングの復習もやる。

現在、入門書で復習している部分は、Webプログラミング。主にPerlとPHPということになるのだが、PHPは流してもいい。試験範囲外、という認識だ。

Perlが単独で存在するというより、データベースとかCGI、UNIXと組み合わされてリスクが発生する。つまりPerlで組んだプログラムに「穴」があると、OSごと乗っ取られたり、乗っ取られないまでもデータを消されたりする可能性がある、ということになるわけだ。また、ページの設計が甘いと、認証もパスワードも破られ放題、ディレクトリ・トラバーサルとかも、である。

テキスト代わりの入門書は、受験のために書かれたものではなく、むしろ、エンジニアに対する警告みたいなものだ。それだけ「甘い」サイトが多いということなのかもしれないし、そういう指摘も書かれてあった。ということは、当然というか、そういうスキルが求められ、試験で試される可能性が高い、ということだと思う。
posted by tamaso at 23:51| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

セキュリティはプロセス 〜 テクニカルエンジニア(情報セキュリティ)試験対策

昨日購入したセキュアプログラミング関係の入門書。入門書とは言え、一応SE向けということもあって、用語とかは手加減をあまりしていない。

セキュリティは、一方では守りを固めるというか、物理的・論理的に堅牢なシステムを構築しておくとか、穴をきっちり塞ぐとか、ちゃんと暗号化・認証のしくみを組み込んでおくなど、そもそもの防御策を施すというスタンスがひとつ。

それともうひとつに、「バグ」「セキュリティ・ホール」対策など、欠陥をきちんと修繕しておくというスタンス。プログラミングの観点で言うと、こちら側が中心の話になる。

そもそも、コードを新しく書き起こしたりすると、その時点からバグの危険性が存在することになる。初心者は、特定の関数や機能を避け、比較的セキュリティの安全性が高い部分を受け持つか、プログラミングに関わらないのが基本だ。とはいえ、ベテランだろうとバグのリスクはある。要するに、どういう部分にその危険性があるのか、どうやると危険性が増すのか、そういうことをある意味「感覚的に」理解できる必要がある。

対策の手法だとか、技術用語とか、個別のテクニックを憶えるというよりも、設計や開発、運用などの流れの中で、セキュリティ対策の適用を考えるというのがセオリーなのだろう。

安全運転が、技術論ではなくシチュエーションごとの危険予測やドライバー心理をマスターすることを中心に考えることと似ているように思う。
posted by tamaso at 00:00| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2006年03月21日

午後1問題をふたたび 〜 テクニカルエンジニア(情報セキュリティ)試験対策

退社が遅くなったため、今日は寄り道せずに電車の中で問題集をやる。午後2問題は一通り片付いたので、今日は午後1問題。後ろからやるのは、前半ばかりを繰り返しやるのを避けるため。

組織の管理に関するテーマだ。もともとシステム監査の午後1で出された問題だ。さすがに午後2に慣れてくると、午後1問題は軽く感じる。さて、この組織に関する問題だが、テクニカルエンジニアという視点で見るとやや遠い感じがする。契約であるとか、システム開発中の機密管理や開発後の処理について、いわゆる「手法」や「技法」がからまない。

それももっともな話で、そもそもシステム監査のスキルを試す試験だから、あまりテクニカルな問題は出されることはない。従って、この手の問題は「正解」を出すことに主眼を置くのではなく、仕組みや手順、データの受け渡しや管理のどこに脆弱性があるかを見つけることに注力する。

弱点を攻撃者や悪意ある第三者の視点で見つけることは、システムのセキュリティ対策につながることになる。弱点を「管理的」に対策するか「技術的」に対策するか、管理者とエンジニアの違いは、この違いと言ってもいいかもしれない。
posted by tamaso at 01:03| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2006年03月12日

今日も午後2の解説を中心に 〜 テクニカルエンジニア(情報セキュリティ)試験対策

午後2問題は、長文であること、範囲が広いこと、この2つが特徴ではあるが、基本となる知識は午後1と大きく変わらない。

ルータの設定やスイッチを使ったVLANが出題のテーマであった。それぞれのネットワーク機器の機能と設定のポイントが基本的に理解できているかどうかと、それを与件に書かれてあるどの場面でどのように使うかが分かっているかどうか、だ。

長文とはいえ、設問には、与件のだいたいどの辺りの事かは書かれてある。ただし、時間がないからといって、その部分だけ読んでも解答するのは難しいことが多い。前提事項やそもそものネットワーク構築の目的や方針が理解できていないと、他の設定とか解答と矛盾が生じてくる。

経験があり、与件の全容が読んで理解できれば、おそらくポイントとなる部分は記憶しているか、マーキングされていると思う。どこが重要か、それが読み取れるようになるには、ある程度の問題をこなせばよいだろう。
posted by tamaso at 20:06| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2006年03月11日

検疫ネットワークに1時間 〜 テクニカルエンジニア(情報セキュリティ)試験対策

午後2対策は、少しやり方を変えて、今日は解答と解説をまとめてみた。

検疫ネットワークがテーマになっていたが、ここまで詳しくなるとテキストでもフォローできていない。出題されるかどうかは疑問ではあるが、主に解答・解説を丁寧にトレースしながら、与件にあたってみる。

結局のところ、難問に見える部分は、第一に与件や設問に出てくる用語の理解が弱いこと、第二に用語に関連する特徴や活用の際の留意点の知識がないこと、第三にそれぞれの手法の組み合わせなど応用がきかないこと、などであった。

検疫ネットワークであっても、多くのプロトコルやネットワーク技術、認証技術などの組み合わせでできているわけだ。解説にかかれてあることを少し丁寧に読むと、ようやくそれらの関係が見えてきた。

本試験では、初見になる問題もよく出くわす。そういうときに役に立つのは、応用力というか、技術者としての見識のようなものだと思う。現場であれ、試験であれ、知っていることだけが現れるわけではない。そういう場合、経験とか見識とか、そういうもので対処するというのは、どちらでも同じ事情だといえると思う。そういう意味で、ひとつの事例を憶えることは、ひとつの問題に対する対応力が身につくだけではないと思う。
posted by tamaso at 01:54| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2006年03月09日

それでも、ネットは大切 〜 テクニカルエンジニア(情報セキュリティ)試験対策

今日は、過去問をひとつ。平成13年・SS午後2問題だ。

出題された内容は、ネットワークに関するもの。FW、プロキシの設定や、メールサーバの設定など。セキュリティアドミニストレータの過去問ということなので、難易度はやや低め。

おそらく、テクニカルエンジニア(情報セキュリティ)試験でも、ネットワークに関する問題は本丸になるだろう。出題されない、ということはありえない。ならば、ここはマスターする対象になる。

では、プログラミングはどうか。プログラマの試験ではない、が、わざわざ出題する、と断りを追加するのには理由があるはず。要するに、出題するつもりなのだろう、ということだ。こっちは、過去問がないだけに、想定は難しいが、手がかりがないわけではない。

http://www.ipa.go.jp/security/awareness/vendor/programming/index.html

ここを押さえるのが、おそらく正解ではなかろうか。範囲は広めだが、問題にしやすい「事例」が豊富にある。

あとは、データベースに関連したものと、認証や暗号など、個別の技術・手法に関するもの、この辺りが押さえどころだと思う。
posted by tamaso at 23:35| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2006年03月05日

午後2問題を久々にやってみる 〜 テクニカルエンジニア(情報セキュリティ)試験対策

午後2問題は、3問あるうちの1問だけを選び、2時間以内で答案を完成させなくてはならない。

普段の勉強は、概ね1時間単位を2セット、2時間単位を基準に行っている。2時間もあると結構な量をこなせる。軽いビジネス書なら1冊読み終える時間だ。かなり長い時間だと言えるが、休憩を挟まないと、2時間連続して集中するのはなかなか難しい。

今日、久々に午後2問題に取り組んだ。設問が4問、解説も参照しながら解答してみたが、途中で集中力が切れた。体調も関係すると思うのだが、本試験ではそうも言っていられない。とりあえず、受験対策のときは、「興味の持続」がポイントだと思う。言い換えれば「飽きない」ということなのだが、知っていることと、知らなかったことが、半分ずつぐらいがちょうど良さそうだ。

今日の敗因は、知らないことの割合が多すぎた。もう少しインプットして、再チャレンジということにする。
posted by tamaso at 22:31| Comment(2) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2006年03月02日

午後1問題を1問だけ 〜 テクニカルエンジニア(情報セキュリティ)試験対策

珍しく残業で、帰りが遅くなる。そのまま帰ると昨日に続いて、二日連続で演習なしになるので、ここは無理してでもやっておく。

今日の問題は、ファイアウォールとプロキシサーバ(リバース・プロキシも含む)がテーマだ。単なる、社内のクライアントのIPを隠すだけでなく、プロキシにはいくつかの機能があり、用途も幅広い。面白いのは、社員の「業務外サイト」のアクセスの抑止にもつながるということ。プロキシを使って、アクセスを制御するだけでなく、警告を与えたり、管理者への通知、ログへの記録などの機能もある。

また、リバース・プロキシの場合、キャッシュを使うことで外部から直接Webサーバにアクセスさせずにサービスができる。これは、サーバに対する改竄などの防止にもなる。

プロキシサーバは、原理というか、基本的な機能は比較的単純だが、セキュリティ向上には様々な使い方ができそうだ。一通り知っておくと、本試験で考え込まずに済むのではなかろうか。
posted by tamaso at 23:48| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2006年02月27日

久々に、まとまった時間を使う 〜 テクニカルエンジニア(情報セキュリティ)試験対策

昨夜は少しだけ早く寝て、寝不足の利息分ぐらいは返した気分だ。まとまって2時間、うち、1時間強を午後問題対策に充てることができた。

3問を解いたが、ほとんどが無線LANと認証に関する問題だった。確かに、この領域が一番問題にしやすいのだろう。基本は、プロトコルと規格、認証・暗号化の仕組みだ。午後問題の対策をするなら、ここは外せない。体で覚えるぐらいにしておいてもいいだろう。

さて、難易度だが、仕組みの部分はそう複雑ではない。公開鍵を基本に、暗号化と認証とでは鍵の使い方が異なるが、その違いをよく覚えておく。加えて、チャレンジ・レスポンス方式の仕組みも頭に入れておく必要があるだろう。仕組みは、こんなものでよさそうだ。一方、プロトコルは、いくらでも難易度を上げることができる領域だ。知識は、幅と深さの両面でマスターする必要があるが、難しくするには、より深くするとかあまり使わない領域まで出題することで可能になる。

実際には、どのレベルが出題されるかはなかなか予測が難しい。とりあえず、問題集の内容はクリアしておくようにする。
posted by tamaso at 22:49| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

広告


この広告は60日以上更新がないブログに表示がされております。

以下のいずれかの方法で非表示にすることが可能です。

・記事の投稿、編集をおこなう
・マイブログの【設定】 > 【広告設定】 より、「60日間更新が無い場合」 の 「広告を表示しない」にチェックを入れて保存する。


×

この広告は1年以上新しい記事の投稿がないブログに表示されております。