2005年12月30日

情報セキュリティアドミニストレータ試験との微妙な違い 〜 テクニカルエンジニア(情報セキュリティ)試験

テクニカルエンジニア(情報セキュリティ)試験も情報セキュリティアドミニストレータ試験も、午後1の試験は「記述式」とある。ところが、セキュアドは午後2も「記述式」であるのに対して、テクニカルエンジニアでは「論述式(事例解析)」となっている。この差は何か。

現在のところ、手がかりらしいものは「サンプル問題」しかない。設問を少し読んでみたい。午後2サンプル問題である。

設問1(2) 同一のWEPキーを使用した場合に暗号を解かなくとも、同じキーストリームを使っていることが判明してしまう理由を、20字以内で述べよ。

「理由を述べよ」という設問は、このあとにも、設問2(1)(2)、設問3(1)(3)に見られる。また、理由のほかに「内容」「問題点」「制限事項」「妥当性」などを問う設問が見られる。これらは、単純に与件や設問のキーワードを記述するだけでは間に合わない。セキュリティ技術について、簡単に説明できる程度の知識だけでなく、現場に適用できる知識や長所・短所などの特徴も心得た上で、理由や内容、問題点を述べる、ということなのだろう。

教科書にあたる、ということはまず必要なことではあるが、もう一歩踏み込んだ知識、現場対応力というものが試される。
posted by tamaso at 01:38| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2005年12月25日

暗号化と認証技術 〜 テクニカルエンジニア(情報セキュリティ)試験対策

セキュアプログラミングは、Perlの入門書を吟味中。というわけで、引き続き、ネットワーク系のセキュリティについて勉強を進める。昨日は、アクセス制御と監視・抑制であったが、今日は暗号化と認証、それに無線LANもこなす。

暗号の基本は、アルゴリズムと鍵のふたつ。アルゴリズムが完全であっても(ありえないことだが)、鍵の管理に問題があれば、盗聴の可能性が高くなる。典型的な例は、WEPということになるだろう。アルゴリズムとしては定番のRC4は他の暗号にも使われているが、WEPは鍵の推定という問題があってセキュリティが甘くなっているわけだ。また、鍵の推定ができなくても、力技で解読してしまう方法もある。鍵は、時々変更するのがセオリーだ。逆に、アルゴリズムについては、DESより3DESという具合に、より安全性の高い技術が探られている。個別の技術については、長所・短所、特徴などを押さえるのが受験対策の基本だ。

認証とは、正当なものであることの証明ということなのだが、何を認証するかによっていくつかに分けられる。正当なユーザであることを証明する「ユーザ認証(クライアント認証)」の他に、通信内容の正しさ証明する「メッセージ認証」、また、接続先が正しいかどうかは「サーバ認証」ということになる。とはいえ、そもそも何を根拠に正当性を主張するか。それには第三者の証明が必要になる。「認証局」による正当性の証明ということだが、実は、認証局の証明も必要になる。最後は、ルート認証局での証明が、すべての下位にある認証局の証明になるわけだ。この認証技術は、暗号化技術のサポートによって実現している。認証の仕組みそのものはシンプルだが、暗号化技術とともに進化するといえるだろう。

さて、無線LANである。トレンドはIEEE802.11iである。現在は移行期といえるが、IPAのサンプル問題にあるWEPは、既に過去のものになっている。WEPによる暗号化は、鍵の推定ができるため単独で使うのには危険が伴う。WPA、WPA2と新しい技術が導入されている。これには、鍵の問題以外に、ユーザ認証も改善されている。無線LANは便利ではあるが、アクセスが容易なだけに防御もしっかりさせる必要がある。少なくとも、社内LANへの接続は無線LANのアクセスポイントからは認めてはいけない。

ネットワーク系のセキュリティ技術は、他にもある。セキュリティプロトコルがそれだ。ここを押さえて、上位のファイアウォール、IDSの運用を再度確認する。
posted by tamaso at 22:32| Comment(1) | TrackBack(1) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2005年12月24日

久しぶりのネットワークセキュリティ 〜 テクニカルエンジニア(情報セキュリティ)試験対策

トラブル続きで、自宅待機が続いたが、ようやく問題は解決した。今日は、コーヒーショップで3時間ほど、ネットワークセキュリティを久しぶりにやってみた。

内容は2度目、「復習」というスタンスになる。テーマは、社内LANのアクセス制御とウイルス対策の2つだ。

社内LANにつながっているサーバには、企業秘密や個人情報など、極めて重要な情報がある。必要な人には公開する必要があるが、部外者のアクセスは厳しく制限される必要がある。そのための手法は、大きく2つ。アクセス制御の基本は「セグメント分け」によるコントロール。ルータやレイヤ3スイッチでアクセスのコントロールをする。接続は可用性も考慮するとスター型が良い。また、外部からのアクセスを制限するには、ファイアウォールが基本だが、更にウイルス対策なども考慮するとステートフルインスペクションというものもある。

また、内部からの漏洩については、抑止策ということにも効果のある、IDSという手法がある。そもそもIDSは監視ツールであるから、これだけでは防御にはならないが、監視することで抑止効果が期待できる。より積極的に防御するには、IDPを使う方法がある。いずれもネットワーク上でパケットを監視するか、サーバー上でアクセスを監視するというのが基本だ。

そのほかに、セキュリティホール対策や未使用ポートの閉鎖など、基本技は当然必要だ。

さて、ウイルス対策だが、東京から移動の際に読んだ部分の復習。クライアントやメールサーバにスキャンソフト(ワクチン)を実装するだけでなく、正しく定義ファイルを更新することもネットワーク運営の立場からは意識しておく。また、持ち込みPCの管理も重要だ。社用として登録したもの以外に、私物や未登録(不審なPC)も社内LANに接続される恐れがある。情報の保護だけでなく、こうしたPC(登録済みも含めて)がウイルスを持ち込むことも当然考えられる。「検疫ネットワーク」という考え方で、登録PCは浄化してから正式にLANに接続する。

また、これもネットワーク制御と同様、セキュリティホールを突くウイルスやメールとか添付ファイルから以外にWebからでも感染する場合がある。少なくとも不要なポートは塞ぐ。ファイルによる感染の場合はパターンとの照合という方法もあるが、最近はサーバなどのメモリ上に常駐するウイルスもある。こうしたものは発見しにくい。先に述べたステートフルインスペクションが効果を示す場合がある。

ということで、明日は認証と暗号あたりをテーマに進めたい。用語とか手法は、使い方とセットで理解すると午後対策には有効だと思う。

posted by tamaso at 22:46| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2005年12月23日

ウィルス、ファイアウォール、など 〜 ネットワーク関連の情報セキュリティ

東京出張は、帰りの便が雪で1時間45分の遅れ。15分差で「払い戻し」の逃す。それはともかく、時間があったのでセキュリティの入門書で時間を潰すことにした。

ウィルス対策というと、ワクチンソフトということになりそうだが、それは「利用者」の視点。ネットワーク管理者の視点が必要になる。クライアントの定義ファイルの更新のことはもちろんだが、主な侵入経路になる、メールサーバの対策というのも必要。また、最近はHTTPを使ったワームもいる。また、サーバのメモリに常駐するものはファイルの検査では発見できない。対策を考えるには、まず最近のウィルスの攻撃パターンを理解することから始まるわけだ。サーバのパッチ、ポートの設定と監視、といったことにも目を配る。

さて、ファイアウォールであるが、基本はパケットの監視である。ウィルスを見逃す可能性もあるので、プロキシサーバなどで、アプリケーション単位の監視と制御も対応する。ポートは当然コントロールするとして、できれば必要なときだけポートを開く。

それでも、DoSやDDoS攻撃には何の対策にもならないこともある。情報セキュリティ対策は、複合的に対策の展開をする。完璧な方法はない、ということを知る必要もある。
posted by tamaso at 00:43| Comment(0) | TrackBack(1) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2005年12月22日

電車でテキストを読む 〜 情報セキュリティの脆弱性

もともとは、コーヒーショップで腰を据えて、テクニカルエンジニア(情報セキュリティ)試験の受験対策をする予定だったが、残業とかトラブルとか、結局時間が取れなくなってしまった。そういう日もある。

仕方がない。電車では、好きな本や雑誌を読むとか、寝てしまうこともあるが、今日はテキストをぱらぱらと読む。セキュア・プログラミングではなく、脆弱性について。テキストの構成から言うと、冒頭は情報セキュリティアドミニストレータ試験と同じような内容で、「セキュリティとは」とか、「情報セキュリティの3要素」のようなものから始まる。ここは、パスしても分かる。

後半はセキュリティ技術ということで、認証とか暗号、検知システムなどの項目がいくつか続くが、先に「脆弱性」についてまとめた部分を読む。実際には、ネットワーク・セキュリティに限定した内容なので、これは入門書でも間に合う。というか、入門書の方がうまく表現されている。

どうやら、総合的なテキストは「見出し」ぐらいにしかならないので、全体の構成をつかむ目的ぐらいにしか使わず、個別の深堀りは入門書で、仕上げは問題集で、というのがモレのない勉強方法なのだろう。ただし、時間とテキストが増えてしまうのが難点だ。
posted by tamaso at 00:02| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2005年12月21日

Perlは、軽めに済ませそう 〜 セキュア・プログラミング講座

テクニカルエンジニア(情報セキュリティ)試験の、セキュア・プログラミング対策は、IPAの提供する「セキュア・プログラミング講座」をテキスト代わりに使っている。新しい章は、Perlがテーマだ。

この章は、わずか3節。ファイルの操作と危険な関数、それに汚染検出の仕組みの三つ、ということになる。今日はセールスプロモーション講座があるので、軽く見出しだけを整理して、とりあえず全体を大掴みすることにした。

プログラミングに共通するのは、まずは言語を理解しなくてはならないこと。Perlは比較的理解しやすい言語のようではあるが、一方で独特の「クセ」のようなものも感じなくはない。もう少し突っ込んで見ないと分からないが、受験対策というスタンスで臨むのなら、この章は、先に「〜講座」テキストを読んでみて、不明な点は入門書にあたるという方法でも良いかもしれない。

初心者向けのやさしい入門書というより、この場合は、リファレンス的なテキストが良いと思う。ネットにも、この手のテキストはあるようなので、利用してみたい。週末には先の章に進めそうな感じがする。
posted by tamaso at 00:06| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2005年12月20日

セキュアプログラミング(Java編)修了 〜 テクニカルエンジニア(情報セキュリティ)試験対策

日曜日の研究会のツケで、1日遅れの仕上げになった。最終的には、「セキュアプログラミング講座」のまとめ、ということになったのだが、以下のような感じだと思う。テクニカルエンジニア(情報セキュリティ)試験とはいえ、ネットワークとプログラミングの両方のスキルを問うというのは、現場のエンジニアにとっても、試験範囲が未経験の分野に及ぶことになるので、負荷が高い試験になるかもしれない。あるいは、問題を選択式にして、選ぶという構えとも想定できなくもない。情報セキュリティアドミニストレータの延長というわけにはいかないようだ。

さて、少々手間取ったが、総括してしまうと意外とシンプルである。
1.危険なクラスたち
 クラスの悪用に対する警戒がテーマ。システムリソースに対するアクセスや特権が得られるクラスを「特権的処理」に限定し、「一般的処理」には限定的なクラスにとどめる。また、セキュリティポリシーは、きめ細かくパーミッションを見直して、必要最小限の権限を設定する。

2.カプセル化のすすめ
 オブジェクトの基本的なコンセプトは、フィールド・メソッドを保護するという考えに基づくもの。従って、クラスの外部からのアクセスは、必要最小限にとどめる。方法としては、リードオンリーインターフェースを用いると良い。また、クラス・インターフェースの名称は、ソースコードの監査がしやすいものを命名する。

3.シリアル化と情報漏洩
 シリアル化は、本来、ファイルの保存や送受信のための手段で、セキュリティ対策はされていない。情報の漏洩を防ぐためには、出力するフィールドの抑制と暗号化対策が基本。また、RMI、EJB実装の際は、注意が必要(ここは試験の対象外と思うが)。

4.クラス継承となりすまし
 クラス継承として、ポリモーフィズム機能は便利ではあるが、サブクラスとして「なりすまし」のリスクがある。継承が危険なものはfinalクラスによる防御を施す。

5.Javaのアサーション
 アサーション機能は、プログラムの正しさを検証する手段であり、ロジックそのものではない。検証の方法としては「事前条件」「事後条件」「クラス不変条件」のいずれかを意識して行う。

6.synchronizedとレースコンディション
 複数スレッドで共有する資源のアクセスでは、レースコンディション問題が発生する可能性があるが、発見・対策は困難な場合が多い。基本は、synchronizedメソッドにより同期させることは可能だが、処理性能が低下する。多用・乱用は避け、最小限の部分をsynchronized文でガードする方法もある。

ということで、Perlに掛かる。シンプルというより、かなり適当な言語という印象がある。基本は短めにやって、「適当さ」に伴うリスク対策を押さえる、ということになるか。
posted by tamaso at 00:37| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2005年12月15日

システムアナリスト試験は、これで完了

受験から発表までに2カ月と、ずいぶん長く待たされた合格発表だったが、今日、結果が明らかになった。合格だった。

過去の成績からすると、やや低位の成績だったのには少々不満もあるが、ひとまず安心。これで同じ試験は受けずに済む。とりあえず、過去の試験結果とともに掲載しておくことにしよう。

勉強は中断できるほどの余裕はまだ感じていないのだか、今日・明日は忘年会。テキストは眺めただけということになった。
合格証書(AN).jpg合格証書(AU).jpg合格証書(PM).jpg
posted by tamaso at 23:33| Comment(2) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2005年12月14日

情報セキュリティからみたJavaの、だいたいの意味

テクニカルエンジニア(情報セキュリティ)試験対策として、Javaのパート(セキュアプログラミング)をやってきたが、ようやくメドというか、片付いた感じだ。

見慣れない用語に戸惑っていたが、一通りの入門書学習で間に合ったようだ。今日は、ざっと「セキュアプログラミング講座」を読んだが、どうにか言いたいことが見えてきた。簡単に言うと、どうやらJavaというやつは、構造化とかオブジェクトとか、比較的クラス(プログラム)の独立性の高いプログラミングができるのだが、それでもうっかりすると、変数だのシステムだの機密情報やセキュリティにかかわる部分に、外からやすやすとアクセスできることもある、ということのようだ。

特に、システムへのアクセスと変数(機密情報を含むものやパスワードなど)へのアクセスは、それなりにセキュリティをかける「テクニック」というものがある。要するに、「使用制限」「権限の設定」「限定的な機能」などの方法やコツを仕込んでおく、ということだ。

俄仕込みの知識なので、少々怪しいので、もう一回、今度はさらっと見直しておくことにする。要するに、軽い復習だ。一般論として、知識系の受験対策は「復習」が基本、スキル系(計算問題とかプログラミング)の受験対策は「練習」が基本なのだ。
posted by tamaso at 23:35| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2005年12月13日

テクニカルエンジニア(情報セキュリティ)に関係ない、ウィルス感染の話

夕方あたりから体調がおかしい。風邪を引いたようだ。今週は、週末に忘年会が連続であり、日曜日には「ブランディング」の研究発表が控えている。かなりタイトなスケジュールだ。

とはいえ、こんな具合では集中力もないし、あっさりあきらめて寝ることにする。

今のところ、平日時間配分は、テクニカルエンジニア(情報セキュリティ)試験の受験対策に1時間、マーケティングとブランディングの勉強に1時間、という配分でやってきたが、研究発表が済んだら、しばらくは受験対策にウェイトをおくようにする。

マーケティングは、週一回の講座の受講で間に合わそう。
posted by tamaso at 21:11| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2005年12月12日

Javaと情報セキュリティ 〜 テクニカルエンジニア(情報セキュリティ)対策としてのセキュアプログラミング

セキュアプログラミングに進む前に、Javaのプログラミングの基本を知る必要がある。将棋にたとえると、後者は駒の並べ方や進み方などのルールに関する知識、前者は実践の棋譜ということになるだろう。棋譜を読むには基本を理解しておく必要がある。ただし、将棋よりもルールはやや複雑である。実践向けに、いろいろと機能が増えるのはよくある話だ。

さて、ようやく「インターフェイス」まで学んだ。学んだからといって身についているかは疑問ではあるが、一度はちゃんと学んで、もう一度ざっと復習すれば、セキュアプログラミングの伝えたいことは分かるようになるだろう。

ということで、並行してIPAの「セキュアプログラミング講座 Java編」を少し読み進む。このテキストは、ケーススタディも多少含まれているので、プログラミングの知識があれば意味は理解できる。また、出題者の心理に立てば、どのあたりが「ヤマ」か、想定もできそうに思う。このあたり、問題集があれば、手っ取り早くスキルの程度を確認できるのだが、それは来年の話ということになるだろう。
posted by tamaso at 23:01| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2005年12月10日

テクニカルエンジニア(情報セキュリティ)試験対策は、少々焦り気味

今日もJavaのプログラミング。気分的には「寄り道」だ。全体をもう一度おさえておかないと、深みにはまる。

弱点というか、知識の穴埋めは重要ではあるが、全体の中の一部。大切なのは、情報セキュリティエンジニアとしての「見識」であることに違いはない。試験問題もそうなのだが、実践でも情報セキュリティの問題は、知識だけでは解決しない。さらっと、問題文を読んでみて、どこが怪しいかを感覚的に分かる、というの感じが必要だ。

これは、経験があれば「勘」が鋭くなるようなものだろう。知識の適用はその次の段階なのだ。なんとなく「おかしい」と感じて、その次に「なぜおかしいのか」をロジカルに考える。原因が明確になれば、最適な方法論(ツールや対策技術)を選択し、手順どおり導入する。

いま取り組んでいるセキュア・プログラミングについては、基本的な手口とか脆弱性などをまず知識として仕込んで、それから、見識に変えていく。これは本来は実践でやることだろうが、演習問題でも身につく。いまのところ、演習は問題集の発売後だ。
posted by tamaso at 23:09| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2005年12月08日

「継承」を少しだけ〜とりあえず、テクニカルエンジニア(情報セキュリティ)試験のためにJavaのプログラミングを勉強

新製品のデビューとか、地元自治会の会報のリニューアル、来週の勉強会での発表準備、更には忘年会と、ここに来て時間が取れなくなってきた。それでも、悪あがきでも、少しはやっておく。

勉強は、単に知識やスキルの習得が目的ではなく、環境の維持というか、要するに休まずに続けることにも意味がある。それは、「続けている」ということを脳に思わせるということになるからだ。中小企業診断士の受験勉強中に、講師からそういうことを聞いたことがある。仮に酔って帰る電車の中であっても、1日1回はテキストを開いて、読む格好だけでも続けておくと、本当に必要なときに、すぐに勉強できる体勢ができるらしい。

これは、今やっているテクニカルエンジニア(情報セキュリティ)試験だけでなく、情報セキュリティアドミニストレータ試験でも、システムアナリスト試験でも、基本的には同じだと思う。忙しい時期もあるが、時間が充分に取れるときも必ずくるはずだから、そのときの時間を無駄にしないために、格好だけでも続けておくというわけだ。

ということで、クラスの継承、という部分を少しだけ書き取った。
posted by tamaso at 23:37| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2005年12月07日

ようやく「らしく」なってきた、Javaの勉強 でも、テクニカルエンジニア(情報セキュリティ)らしくはない

来週末の研究会で発表する「ブランド戦略」のネタの仕込みがあり、今日のテクニカルエンジニア(情報セキュリティ)対策の勉強は1時間ほど。しかも、セキュリティではなく、プログラミングのほう。

ようやくクラスとかメソッドなどが言葉として理解できてきた、という状態で、果たして試験に間に合うのかどうか。少なくとも、試験の範囲はプログラミングなどは、ほんの一部分だ。とはいえ、乗りかかった船、入門書は一冊分、最後までは付き合うつもりだ。

今日、片付けたのは、オーバーロード、静的変数・メソッドなど、それに関数ぐらいか。このあとにはまだもう少しJavaらしい用語とテクニックがあるようだ。なんとか、週末までに仕上げて、セキュリティは一気に済ませたい。

年内にPerlまで仕上がれば、まあいいという感じだが、それでもやや遅れ気味ではある。情報セキュリティアドミニストレータ試験の時も、結局、最後に追い込んだような気もする。
posted by tamaso at 23:58| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

テクニカルエンジニア(情報セキュリティ)対策は、Javaの学習効果が少しあり

今日は、マーケティング講座があり、腰をすえた勉強はできず。テクニカルエンジニア(情報セキュリティ)対策としては、セキュアプログラミングに偏りすぎの感はあるが、受験対策の正念場ということで何とかしのぎたい。情報セキュリティアドミニストレータ試験の受験のときも、基準とか法律とか、マネジメント関連に苦労したことがあった。

さて、引き続きJavaには違いないが、今日はテキストをざっと通して眺める感じで読んだ。少しは入門書の効果があったと見えて、以前より理解できる部分が増えていた。実際の受験対策としては、こんなものでは足りないのだが、意味がないわけではない。

勉強を続けていると、ダレる頃がある。脳が飽きてくるのかもしれない。そういうときは、例えば、やや簡単な問題に取り組んでみるとか、以前は手強いと感じた項目を読み直してみるといい。少なくとも、勉強を続けていれば、以前より理解度が進んでいるはずだ。前に見たときよりは、やさしく感じる。その「気分」が大切で、これがまた続けるための刺激になる。

情報セキュリティは、守備範囲が広いので、なかなか捗った気がしないので、こういうことで進捗を実感するというのも良いと思う。
posted by tamaso at 00:52| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2005年12月04日

テクニカルエンジニア(情報セキュリティ)試験対策で、もう少しだけJavaの基本をやる

ようやく「構造化」の入り口ぐらいが分かりかけたぐらいだと思うが、とりあえず、セキュアプログラミングに行くまでに、もう少しだけJavaをやっておく。

セキュリティには直接関係はないのだが、例えば、情報セキュリティアドミニストレータ試験など、他の情報処理技術者試験にも、この「構造化」とかに関する問題が出題される。午前の試験では、おなじみの問題というところだろうか。とはいえ、せいぜい2問かそこらなので、いい加減に憶えていてもなんとかなった。

しかし、セキュリティというか、プログラムの安定性を考えると、この構造化はうまく使えばプログラムを堅牢にしやすい。プログラムをいじると、通常は全体的に影響が及ぶことがある。直しても直しても、次々と不具合が出てきて、気づくと制作者も中身が分からない、ということになる場合もある。

プログラムを部品にして、部品の機能を限定する。変数も引数として受け渡しするもの以外は、局所的に使う、こういう思想は正しいと思う。これとセキュアプログラミングとのかかわりは、次の段階で勉強する。
posted by tamaso at 22:32| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2005年11月29日

セキュアプログラミング対策で、Javaの勉強を続ける

テクニカルエンジニア(情報セキュリティ)試験対策で、引き続きJavaの勉強をしている。寝不足でかなりつらいのだが、なんとか「クラス」とか「メソッド」とか、そういう言葉の意味がつかめてきた、という程度。

Javaについていえば、構造化が可能な言語で、うまくプログラミングすると「カプセル」に必要な機能を収めることができる。より安全なプログラミングが可能、ということらしい。

そもそも、セキュアなプログラミングを阻害する要素とは、クラスに対してネットワークとか、システムのコアな部分へのアクセスがさまざまな形で許可されてしまっているからだ。システムの安全性、ネットワークへのアクセス権などは、プログラミングの際、特別な注意が必要で、ある程度以上の経験と能力が必要だということだ。

ある意味、これは「入室許可」のようなものかもしれない。もう少し、入門書で基礎を固めて、そろそろ「セキュアプログラミング講座」に戻るつもりだ。

情報セキュリティアドミニストレータ試験では経験しなかった回り道だが、まあ「急がば回れ」ということもある。
posted by tamaso at 01:31| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2005年11月27日

情報セキュリティに進む前に、引き続きJavaの基本

昨日に続いて、テクニカルエンジニア(情報セキュリティ)試験対策は、Javaのプログラミングの基本をやる。情報セキュリティアドミニストレーターでは、基本情報処理のようなプログラミングについての問題は出題されない。それに、基本情報処理ではアセンブラを選択したため、Javaはほぼ初めての経験になる。

プログラミングは、入門書を使っているのだが、読むだけでは足りないかもしれない。プログラミングは、いわゆる「知識」ではなく「技能」に分類される。スキルというやつだ。スキルは、スポーツや外国語と同様、読んで憶えるのではなく、体で憶えることになる。幸い、Javaのプログラム開発環境は、入門者なら手軽にコンパイラを入手できる。テキストの内容を打ち込み、実行させることぐらいなら、そう難しいことではないようだ。

割と、手続きには「様式的」というか、定型の形があるようで、一定のレベルならすぐに身につきそうだ。もともと、言語というものは「クセ」のようなものはあっても、わざと難しく作っているわけではないはずだ。まあ、それぐらいの気持ちで取り組んでみたい。なんとか一週間ぐらいで、基本は仕上げたい。
posted by tamaso at 22:53| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

セキュアプログラミングなので、Javaの入門書からはじめる

テクニカルエンジニア(情報セキュリティ)試験には、セキュアプログラミングが出題の範囲に含まれる。従来の、情報セキュリティアドミニストレーター試験の深堀りだけでは間に合わない部分がある、ということだ。

とはいうものの、基本がおぼつかないので、Java、Perl、C++は、一応基本も押さえる。そののち、「セキュアプログラミング講座」を、きっちりやる。という手順。少々時間がかかりそうだが、言語としてある程度知っていてもいいと思う。

目標は、さしあたり「〜講座」の用語ぐらいは分かるようにすること。あまり突っ込まないことにする。プログラマを目指すわけではないので。
posted by tamaso at 01:27| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2005年11月24日

テクニカルエンジニア(情報セキュリティ)試験は、Javaも出る

今日は、東京への出張があり、1時間だけ。セキュアプログラミング講座の第3章、Javaについて。さすがにこのあたりは、情報セキュリティアドミニストレーターでは対象外。つまり、新規にインプットしないといけない科目、ということになる。

3-1. 危険なクラスたち
3-2. カプセル化のすすめ

と、ここまで読むには読んだが、雰囲気だけ、という感じ。もうちょっとしっかりマスターするには、基本的な部分を押さえないといけないようだ。もちろん、プログラマを目指すわけではないので、要するに「言葉の理解度」を高める、ということでいいと思う。

まあ、とりあえず、開発環境をセキュアな状態に整備する、ということを言っているようだ。このあたりは、出題範囲とかスキル標準でも同様の表現が見られる。おそらく、出題も環境整備に関連して出されるか、あるいは、環境の不備な部分を指摘する、といった感じになるように思う。
posted by tamaso at 23:26| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

広告


この広告は60日以上更新がないブログに表示がされております。

以下のいずれかの方法で非表示にすることが可能です。

・記事の投稿、編集をおこなう
・マイブログの【設定】 > 【広告設定】 より、「60日間更新が無い場合」 の 「広告を表示しない」にチェックを入れて保存する。


×

この広告は1年以上新しい記事の投稿がないブログに表示されております。