2005年11月23日

セキュアプログラミング講座で、試験対策する

テクニカルエンジニア(情報セキュリティ)試験は、情報セキュリティアドミニストレーター試験にはない、「セキュアプログラミング」から出題される予定だ。現在のところ、てごろなテキストが少ないのだが、以下は、IPAが準備したテキストのようなものだ。

http://www.ipa.go.jp/security/awareness/vendor/programming/a02.html

今回は、データベースをテーマにした部分を読む。インターネット経由で、データベースにある情報を提供するサービスというのは、よくある話だが、プログラミングを誤ると、悪意ある第三者にデータベースを自由に操作されてしまう。不要なデータが書き込まれたり、データが改竄、消去されたり、場合によっては、完全な管理者権限を乗っ取られてしまうこともありうる。

商品の情報ぐらいならまだしも、個人情報や機密情報をそっくり盗まれてしまうこともあるわけで、不注意なプログラミングは責任重大である。試験対策ではなく、上のテキストがなぜ用意されているのか、よく分かる。
posted by tamaso at 23:06| Comment(2) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

テクニカルエンジニア(情報セキュリティ)サンプル問題で、クッキーの勉強もする

テクニカルエンジニア(情報セキュリティ)試験、サンプル問題を続ける。「会員認証の検討」の後半は、クッキーについての説明が書かれている。クッキーについては、基本的な技術だし、日常のインターネットのアクセスでしょっちゅう使われる。できれば、情報セキュリティアドミニストレータを目指す人も、テキストに一度はあたった方が良いと思う。

そもそも、HTTPのパケットの交換は、1回ずつが使い捨てのように、先のやり取りの情報を引き継いでいくということがない。しかし、現実にはネットショップで買い物をしたりする場合は、買った情報を引き続き保持しながら、Webを行ったり来たりする。そこで使われるのが、クッキーということらしい。

ID・パスワードで認証を受けたクライアントに、サーバから認証した内容をクッキーとして送信する。次回のアクセス(直後もある)の際に、クッキーとともにサーバにリクエストすると、サーバは、以前にアクセスがあったクライアントとして認識するわけである。

サンプル問題では、2つのドメインというか、サーバを使うことになっていて、一方はネット販売のための受注Web、もう一方はカタログとして使う掲載Webだ。カタログには、会員の要望に応じてカスタマイズする機能(パーソナライズ機能)があるので、これもクッキーを使って特定の会員であることをサーバに伝える必要がある。

問題文では、決済という金銭のからむ受注Webがあり、ID・パスワードが盗聴されると、なりすましによって商品が騙し取られる恐れがある。カタログを見せるだけなら、被害らしいものもないのだが、カタログと買い物のサイトを行き来する場合、クッキーが盗聴されないよう、どちらのサイトにも暗号化が必要になるというわけである。暗号化は、問題文に書かれてあるように、SSLを使う。


posted by tamaso at 00:16| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2005年11月22日

テクニカルエンジニア(情報セキュリティ)サンプル問題で、SSLを憶える

どういう問題が出題されるのか、まだ不明なテクニカルエンジニア(情報セキュリティ)試験であるが、午後問題には、サンプル問題が公開されている。順次、解いてきているのだが、今回は、「会員認証の検討」の部分。

手元の入門書が暗号化に関連したものであったため、前半のSSLの部分しか明確にはならなかった。後半はクッキーについてだが、ここも、改めてマスターしたい。

さて、SSLについてだが、一言で表せば「ブラウザとWebサーバ間のパケットの暗号化」ということになるだろう。実際には、HTTP以外にも、SMTPやFTPなどでも利用されるらしい。ただ、いつも目に触れるのは、ほとんどHTTP、つまりブラウザとWebサーバ間ということになる。

このしくみ、よく調べてみると、結構複雑なことをしている。前半、公開鍵方式で共通鍵の交換をする。それからデータのやり取りを高速な共通鍵で行うというものだ。共通鍵は、そのときにのみ使われるものだから、安全性は比較的高い。

問題文にある「サーバ認証」は、この相手側であるサーバが「本物かどうか」を確かめる仕組みである。提示された「公開鍵」を「認証局」が正規のものとして認証することで、会員は安心して情報をサーバに送ることができるわけである。そうでなくては、ECで使われる個人情報を、偽のサイトに渡す、いわゆる「フィッシング」に遭うことになる。

また、ベーシック認証という言葉も出てくるが、これはID・パスワードのセットで、本人を認証する仕組みである。大きな取引となる企業間では、クライアントも同様に認証局による認証まで行うが、この例では、そこまではしていない。ただし、ID・パスワードは盗聴のリスクを伴うため、SSLによる暗号化を行っている。

ちなみに、このSSLだが、無線LANによる社員のリモートアクセスの際にも使われることになっている。WEPの安全性に問題があるため、ここでも使われているわけである。

この技術は、試験だけでなく、日常的にもよく見るものなので、その意味が理解できることで、ページ設計意図も分かってくる。このあたり、勉強のもうひとつの楽しみともいえる。ちなみに、このあたりは情報セキュリティアドミニストレーター試験でも知っておくべき内容だろう。ただし、サーバとの詳しいパケット交換のフローまでは不要だが。
posted by tamaso at 01:21| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2005年11月20日

セキュアプログラミング「Web技術」を読み終える

テクニカルエンジニア(情報セキュリティ)の午後の試験対策として、セキュアプログラミングのテキスト、といってもネットから入手したものだが、を読んでいる。さすがに、このあたりの内容になると、情報セキュリティアドミニストレーター試験とは異なってくる。

セキュアWebプログラミング、に分類された章は、全部で6節に分かれている。

1. クライアント側の入力チェックは安全でない
2. クロスサイトスクリプティング
3. Webページとユーザ認証
4. クエリストリングから情報が漏れる
5. hiddenは危険(セッション変数を利用しよう)
6. Webフォームの選択項目が危ない

とある。いずれも実践的な内容で、教科書のようなまとめ方にはなっていない。試験の出題用素材としては、むしろ使いやすいかも知れない。サンプルとして挙げられた例は、結構よくあるパターンで、読みながら気になった、運営中のページもあるぐらいだ。それぐらい、Webには弱点が多い。しかも、運営者は気づいていない。

IPAが、なぜ試験の内容にこれを加え、更に言語について補足までしたか。セキュリティはネット技術だけでは済まなくなってきているようだ。
posted by tamaso at 21:13| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2005年11月19日

ウィルス対策は、情報セキュリティの基本

テクニカルエンジニア(情報セキュリティ)試験の受験対策は、今日もネットワークの入門書で。とはいえ、情報セキュリティアドミニストレータ試験にも使えるかもしれない。

さて、今日の内容は、ウィルスについて。対策の基本は「ワクチン」ではあるが、最近のウィルスの手口から言えば、OSやアプリケーションのセキュリティ・ホールをふさぐことも必要だし、パケットの監視も必要だ。また、ウィルス発生後は、ログの分析から侵入経路を調べることもできる。

また、ウィルスは、単にクライアントのシステムを荒らすだけではない。サーバーに侵入したウィルスが、ファイアウォールにバックドアを開けたりして、乗っ取りの助成もする。大量のメールやリクエストを他の特定のサーバに投げて、システムを停止させることもする。クライアントのメールソフトを使って、ファイルやアドレス情報を無作為に送信する、といったこともする。

不正侵入は特定のターゲットに対する行為であるが、ウィルスは無差別に攻撃する。それだけに影響が計り知れない。
posted by tamaso at 22:10| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2005年11月17日

企業のネットワークセキュリティのまとめ

テクニカルエンジニア(情報セキュリティ)試験の対策として、社内LANのセキュリティ維持の方法を引き続き読んでいる。
今週は、会社の仕事や講習会など、退社後にまとまった時間がとりにくい。こういうときは、少しずつの時間を活かしてテキストを読むのもいいだろう。ノートにまとめたりはできないので、全体をつかむように読んでいく。細かなところは、場合によっては問題集でチェックするという手もある。

さて、社内LANのセキュリティであるが、先に「セグメント」に少し触れた。ここは一部である。テキスト(といっても入門書「すっきりわかった〜」であるが)では、まず大きく二つに分けている。

・アクセス制御
・セキュリティ維持

である。アクセス制御は、要するに不正なコードやセキュリティに問題のあるパソコンを、社内LANに入れないということである。考え方としては、クリーン度のようなものかもしれない。社内LAN、特に、重要な情報のあるエリアは、厳格にクリーン度を高めた状態にしておかねばならない。そこで、そのエリア(セグメント)につなぐPC、あるいは、入ってくるパケットのクリーン度に注目し、低いものは排除する仕組みを用意する。本書のポイントは、四つ

1. セグメント分け
2. 外との出入口(ファイアウォール)を固める
3. 持込みPCの制限・ルールと安全に使う手法
4. サーバ保護のためのアクセス制御

である。まず、枠組みを意識し、パケットについてはファイアウォールで、持込みPCはルールと仕組みで守る。また、特に重要なサーバには、それぞれの重要度と危険度に応じた個別の対策を講じるというわけである。

また、セキュリティはその状態を維持する必要がある。常にセキュリティホールを埋め、ウィルス対策は最新のパターンファイルを備える。内容的には、次の二つ。

1. OSを最新状態に更新する手法
2. トラフィック、ログの管理

現在はここまで。次回は、ウィルス対策に進めることにする。
posted by tamaso at 23:21| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2005年11月16日

ネットワーク系・情報セキュリティのテキストを読む

テクニカルエンジニア(情報セキュリティ)試験の受験対策として、午後の試験問題に取り組んでみたが、今日は「マーケティング講座」出席のため、まとまった時間がなく、電車のなかで入門書をテキスト代わりにしての勉強。読みかけていた部分をはじめから。

ネットワークでの、セキュリティの基本中の基本は、「セグメント」だ。情報にはふさわしい置き場所というものがある。それは、紙でもデジタルでも考え方が大きく異なるものではない。デジタルの場合、それが物理的なものだけでなく論理的に分けるということになる、ということだ。

情報処理技術者試験で出題される、シーンというか舞台というか、ようするにその場面は企業が基本だ。一般消費者も登場するが、エンジニアは企業の一員として問題解決にあたる。さて、というわけで、情報セキュリティも「家庭」ではなく「企業」の情報セキュリティである。この場合の留意点が「セグメント」というわけだ。部外者と関係者とでアクセスの権限は異なる。まず、情報のあるサーバは、部内のセグメント内に置き、ルータなどで部外と分離するのが原則。そうしないと、端末ごとにアクセス権の付け替えをするなど、厄介な作業と、間違いや作業漏れなどのリスクが入り込む。外部からのパケットや外部に出るパケットを厳しくチェックすれば、部内の情報の安全性はかなり確保できる。その上で、部内にいる、社外の関係者をどうするかを考える。もし、サーバが物理的に部門内から離れたところに置かれるのなら、その間をVPNなど暗号化した経路を確保すればよい。

どこからどこまでが「内側」で、どこからが「外側」か、それは情報漏洩を考える際にも役に立つ考え方だ。情報を、デジタル的にも物理的にも、外側に持ち出す場合は特別に対策を考えなくてはならない。午後の問題には、この分け方が役に立ちそうだ。
posted by tamaso at 00:00| Comment(1) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2005年11月15日

テクニカルエンジニア(情報セキュリティ) 午後2試験サンプル問題 (4)

ひきつづいて、テクニカルエンジニア(情報セキュリティ)試験のサンプル問題、午後2に取り組んでみる。今回みていく部分は、「社員認証の検討」だ。

社員認証は、会員の個人情報のアクセスとも関連するため、厳密に行なわなくてはならない。ここでは、単なるID・パスワードだけではなく、暗号化してやりとりされる。

ID・パスワードは、ネット上でクライアントとサーバー間をパケットとして流れるわけで、このままでは盗聴の可能性がある。TCP/IPそのものには暗号化の機能がないからだ。そこで、C君は当初、「対象暗号方式」を使った「チャレンジ/レスポンス認証」を使おうと考えた。ICカードは、外部からの操作などでは、簡単に情報が盗み出せない、いわゆる「耐タンパ性」に優れていると判断したわけである。

が、実際には、ICカードが盗まれ、文中にあるように「消費電力を分析」することで、カード内の「鍵」が解読される可能性がある、とD氏は指摘する。対象暗号方式、すなわち、共通鍵暗号方式の場合、一方の鍵が解読された時点で暗号文も解読されることになる。非対称暗号方式の場合は、暗号化と復号化に、異なる鍵を使用する方式で、これならICカード内の鍵(暗号化用の鍵)が解読されても、暗号文そのものは守られるというわけである。

ちなみに、「チャレンジ/レスポンス認証」のしくみであるが、これは図2で示されている。まず、接続した社員のパソコンから認証サーバに社員IDとともに「チャレンジ」と呼ばれるデータの送信を依頼する。認証サーバ側には、社員IDごとの鍵があり、サーバ側で発生させた乱数を、この鍵で暗号化する。正規のICカード内にある鍵でしか、元の乱数には戻せないはずである。サーバから送信された乱数は、パソコンに送信され、パソコン側のICカード内の鍵で復号する。実は、この手続きで、社員側も「正規のサーバ」かどうかが判断できる。乱数が複合できないとしたら、サーバには社員のICカードに対応する鍵がない、ということになるからだ。

さて、社員側は、正規のサーバから送られてきた乱数に、社員である証明として、「個体識別番号」を結合させ、サーバが公開している鍵で暗号化する。これで、この証明データは、正規のサーバでなければ解読できなくなったはずだ。データを受けたサーバは、最終的に、チャレンジとして送った乱数と社員固有の情報とをつき合わせ、正規の社員として認証するというしくみだ。

ポイントは、サーバ固有の情報と社員固有の情報を、それぞれ相手側が固有の鍵でしか解読されない方法で暗号化し、ネットに流すというしくみである。これならば、盗聴されても第三者に内容がもれることはない。なお、非対称暗号方式は、処理に時間がかかるため、こうした短いデータのやりとりには使えるが、長いデータそのものを送るには向かない。一旦、非対称方式で相手先を確認したら、安全な方法で共通鍵を送り、その後は共通鍵で交信するという方法もある。

ICカードの紛失に気づいた時点で、カードそのものを無効にすることはできるが、そこにはタイムラグが生じる。第三者が、ICカードから「鍵」を読み出し、認証プロセスを通過したら、場合によっては多くの個人情報が漏洩の危機にさらされる。D氏は、知識・経験が豊富であるだけでなく、慎重派のようだ。
posted by tamaso at 09:55| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2005年11月12日

セキュア・プログラミングの勉強を始める

テクニカルエンジニア(情報セキュリティ)試験対策だが、サンプル問題を休んで、今日はテキストで勉強。サンプル問題の解答を進めたいが、インプット学習が遅れているように思うからだ。

テキストの全体像は、「情報セキュリティ概論」として巻頭に書かれている。テキストの内容は、基本的なものから応用まで、また、理論的なものから実用的なものと、多岐にわたる。その全体像を図示している。

勉強は、下から積み上げる方がモレ・ダブリが少なく、効率的だ。そうしてみると、最も弱いところは、「セキュアプログラミング技法」ということになる。この階層には、もうひとつの基礎「ネットワークインフラセキュリティ」があるが、現時点では「セキュアプログラミング技法」の方が遠い。

不明な用語もあるが、まずは全体像をつかむことが肝心だ。細かな用語は、今のところは推測でも良い。

このテキストでも、IPAの「セキュア・プログラミング講座」に基づいている。セキュアプログラミングは、大きく分けて2つ、「Webプログラム」と「製品プログラム」である。トピックとして、特に「クロスサイトスクリプティング」や「バッファオーバーフロー」が重く取り上げられている。こういうキーワードは、試験に出しやすい。要チェックだ。「できれぱC言語は使うな」とまで書いてある。よほどプログラミング・スキルが高くないと危険だ、というわけだ。それと、ブラウザでのデータの受け渡しにも、数多くの「罠」がある。意図的に送られてきた不正なコマンドは、サーバー側で無効化する必要がある。クライアント側で対策していても、油断してはいけない。

セキュリティエンジニアは、プログラマではない。プログラマのターゲットは、効率的に要件を満たすこと。そのために、セキュリティには目が行き届かないこともある。だからこそ、セキュリティの視点が必要なのである。が、コードを読むだけの技量がないと、見抜けないこともある。これは経験が必要なこともあるだろう。そのためには、サンプルを見るのも方法だ。先の「セキュア・プログラミング講座」は、サンプルも豊富であるように見える。

今日は前半まで。後半は明日読むことにして、余裕があればサンプル問題にかかる。
posted by tamaso at 23:37| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2005年11月11日

テクニカルエンジニア(情報セキュリティ)試験の参考書

今日は、一級販売士の更新研修と診断士による事業協同組合の仕事で、テクニカルエンジニア(情報セキュリティ)試験の受験対策は休み。

ということで、手元のテキストを紹介。「テクニカルエンジニア(情報セキュリティ)」の名称のテキスト・問題集も少しだが店頭に並ぶようになってきている。が、どちらかというと午前対策という感じで、もう少し網羅的かつ詳しく知りたい、というときには物足りなく感じる。

既に、このテキストを利用している受験者も多いと思うが、こちらは対象が異なるのだが、うまくまとまっていて使いやすそうに思う。本試験は、未知数ではあるが、目標は合格であって満点ではないので、まずはこれをきちんとマスターする、ということでいいと思う。


a.jpg
posted by tamaso at 23:22| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2005年11月08日

テクニカルエンジニア(情報セキュリティ) 午後2試験サンプル問題

午後2試験の持ち時間は2時間、長いようだが、解答に充てられる時間は少ない。
効率よく解く必要があるが、そのためにはそれなりに解答技法や読解力も必要に
なる。今回は問題を選択する必要はないが、本試験では選択する時間も無駄にで
きない。

さて、解答に至るまでの手順だが、セオリーがある。
1.テーマの確認
2.冒頭部分を読む
3.小見出しを通して見ておく
4.設問を読み、要点を憶える(メモ書きしておく)
5.問題文を読む → 読みながら解答の方向性を整理する
6.解答の主旨をざっとまとめる(メモしてもいい)
7.解答する → 字数は書きながら調整

それぞれ、サンプル問題に沿って確認していく。

1.テーマの確認
「安全な電子商取引システムの構築」とある。
これだけでも、なんとなく「機密性」「完全性」「可用性」で設問が考えられる。
また、取引には「与信」や「認証」「電子署名」などもあり、「暗号化」などの
要件もありそうに思う。ざっと、このあたりを予想してみて、それから、冒頭の
文を読む。

2.冒頭部分を読む
全体はまだ読まない。ただし、設問を読む前に、問題文の大体の把握をしておく
と、後で問題に掛かる際に、要点にフォーカスしやすい。

冒頭部分を読むと、一般消費者が対象である「物販」業者であり、従来はカタロ
グとファックスという、紙ベースのシステムであったことが伺える。更に、送品
は「外注」しており、電子化に伴うリスクなど、このあたりで予測できる。

3.小見出しを通して見ておく
「システム要件」「リモートアクセスの検討」「社員認証の検討」「会員認証の
検討」「システム構成の検討」「システムの試験」という流れ。これを見ると、
インシデントの事例ではなく、システム構築の事例であると分かる。
ついでに図・表は眺めておく。無線LAN、ICカードによる認証フロー、EC
システムのwebサーバ、ネットワーク構成、L3スイッチとある。これで大体
のシステム構成像がつかめれば、あとは設問に移る。

4.設問を読み、要点を憶える(メモ書きしておく)
設問を読むのは、問題文のどこにフォーカスするかを、予め決めておくためだ。
長文であり、ただ読んでいては解答のために、また読み直したり、要点を探した
りと、非効率的なことをすることになる。練習のときはそれでも良いが、本番で
は、その時間はない。設問を読む際は、「これも解答のヒントである」という点
に気をつけたい。ここは飛ばして読まず、最初の行から読む。

設問1 リモートアクセス
設問2 会員の認証
設問3 システム構成
設問4 電子メールの不正中継の回避
設問5 会員情報の保護

というテーマが1行目にある。これで、問題文(小見出し、図・表)のどの辺りか
の見当をつける。できれば、この項目だけでもメモにして、参照しながら問題文
に掛かると良い。さて、設問を更に見ていく。

設問1
(1) 空白を埋める問題。五つあるが、字数などの制限は書かれていない。本格的
  に読む前に、該当箇所だけはさっと目を通す。無線LANでのやりとり、ぐ
  らいが分かれば良い。
(2) WEPキーの欠点について問う問題。知識で解けそうだ。
設問2
(1) 会員パスワードと受注Webの証明書について。ここは問題文にあたる必要
  がありそうだ。
(2) クッキーの設定について、「属性」とある。ここも問題文にあたる。
設問3
(1) 静的ルーティングの理由。動的との違いを踏まえ、問題文から理由を探す。
(2) LSサーバの意味はこの時点では不明。問われている内容は、パケットフィ
  ルタリングの事らしい。
(3) 会員DBの保護について、電話番号入力時の注意点。この段階では推測する
  ことになるが、入力フォームのセキュリティに関する問題のようだ。
設問4
(1) 電子メールサーバが「踏み台」にされないための対策。60字と長い。
(2) 具体的なフィルタの設定ルールを示す。(1) との書き分けも考える。
設問5
(1) 図2、「対象暗号方式」の問題点について。これは知識問題らしい。
(2) 会員DBアクセスの際の、制限事項。個人情報の漏洩をどう防ぐか、である
  と想定できる。
(3) 内部の情報漏洩対策の妥当性について。社員認証・会員DBアクセス方法以
  外、とある。ここは問題文にあたる必要がある。


さて、ここまでで、設問を読むところまできた。まだ問題文は読んでいないが、
何を見つけ出す必要があるか、どういう知識が必要かは、ほぼ分かった。

長くなるので、今回はここまでにして、続きは後日。
posted by tamaso at 00:04| Comment(2) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2005年11月07日

テクニカルエンジニア(情報セキュリティ)試験のスキル標準をまとめ始める

春の受験までは、まだ時間はあるようだが、迷っているうちに日が経ってしまう。早めにスケジュールを具体化した方がいい。スキル標準の内容は、「知識体系」のA〜Dが「実務知識」、EとFが「コア知識」。コア知識は、それだけでは午後の試験の問題には、し難い。ただし、知っておくべき知識、という位置づけだから、英単語のように名前と内容を一致させておく必要はあるだろう。

さて、一方では、実務知識があり、これは午後の問題に応用させることになるだろう。今回は、A.の「情報システムのセキュリティ要件定義」をさらっと、項目だけまとめる。セキュリティ要件定義というのは、ソフト開発でも少しだけ出てくる言葉だ。セキュアドには見当たらないので、このあたりのテキストからまずあたることにする。

一応、項目として、あげておく。要件定義のうち、前半の部分になる。脆弱性と脅威の分析。ここは、セキュアドにもある手法が使える。次は、中身にかかることにする。後半の「セキュリティ要件定義」は次回以降。

1 情報システムの脆弱性・脅威分析
 1.1 情報資産の評価
  1.1.1 情報資産の識別方法(情報システム、ネットワーク、データ、文書など)
  1.1.2 情報資産の評価方法(機密性、完全性、可用性に関する重要度、致命度、危険度など)
 1.2 リスクの特定(脆弱性・脅威の検出)
  1.2.1 脅威の分析(情報資産に損害を与える人、物、イベント、災害など)
  1.2.2 脆弱性の分析(脅威によって悪用される情報システムの弱点)
  1.2.3 リスクの存在箇所
     (サーバ、クライアント、ネットワーク、ルータ、ソフトウェア、開発ツール、記録媒体など)
  1.2.4 リスクの発生時期
     (勤務時間、勤務時間外、平日、休日または定休日、緊急対応時、対外説明時など)
  1.2.5 リスクの原因(物理的要因、技術的要因、人的要因など)
 1.3 リスクの算定
  1.3.1 定量的リスク評価方法
  1.3.2 定性的リスク評価方法
  1.3.3 リスク対策のコスト
  1.3.4 リスクの許容
 1.4 リスクの評価
  1.4.1 リスク基準
  1.4.2 リスク対応の優先順位
 1.5 リスク対策の選択
  1.5.1 予防的対策
  1.5.2 緊急時への対策
  1.5.3 災害時への対策
  1.5.4 防護的対策
  1.5.5 保守への対策
  1.5.6 侵入検知および分析
posted by tamaso at 00:27| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2005年11月02日

テクニカルエンジニア(情報セキュリティ)のスキル標準を読む

テクニカルエンジニア(情報セキュリティ)に関して、ようやく必要なスキルの内容が発表された。「プログラム言語」の7文字で、ネットワークだけでなくプログラム言語までやらねばならないのかと、少々気が重くなったのだが、実際には、全体の中の一部ではある。

持ち時間90分と言う条件で、セキュリティの広範囲な内容のスキルを試すわけだから、どこまで深い知識・スキルを問うことができるか、である。むしろ、幅広い知識で勝負する方が作戦としては正しいと思う。

さて、というわけで、かなり量が多いのだが、いわゆる「スキル標準」を読むことにした。今日は忙しくて、ほんの少しだけ。それと、念のため、昨日の「セキュア・プログラム講座」もざっと眺めるように読んだ。どちらもテキスト代わり、とまではいかないが、対策本として位置づけたい。

今のところは、あまり詳細に突っ込むより、全体の構成を捉えることに注力したい。
posted by tamaso at 00:52| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2005年10月26日

情報セキュリティの受験対策として、今読んでいる本

テクニカルエンジニア(情報セキュリティ)受験に備えて、とりあえずサンプル問題を見たが、これがさっぱり分からず、「ネットワーク」の知識補充、これは午前の対策も含む、として受験テキストを買った。が、これも用語の意味がとれず、ようやく落ち着いたのがこの本だ。

情報セキュリティの「脅威」とは、主に「災害」「障害」「人」。中でも人は厄介だ。この人を、内部と外部の人間に分け、内部は「規則・教育・罰則」などで守る。外部に規則も教育も通用しないので、これには「技術」あるいは「仕掛け」で守る。さて、彼らは、主にインターネットからやってくる。他にもあるが、まずはインターネットだ。ということは、まずその仕組みを知り、それから弱点を研究して、対策を打つ。

というわけで、TCP/IPをまず知ることから始めたわけだ。本書のサマリーは、以下の通り。
第1部 TCP/IPの全体像
第2部 OSI参照モデルを理解する
第3部 これならわかるTCP/IP
第4部 IPアドレスとルーティング
第5部 アプリケーションプロトコル大図鑑
今現在、第4部の中ほどまで来た。OSI参照モデルでいうと、3層「ネットワーク層」と4層「トランスポート層」の中間ぐらいまで。このあと、第5部までやると、ファイアウォールの仕組みも理解できるようになる。とりあえず、サンプル問題の午後1の範囲はカバーできるわけだ。

実際には、障害や災害対策とか、アクセス権、認証、暗号化など、いろいろとテーマは控えているし、人的な部分もテクニカルエンジニアではあるが、避けてはいられないだろう。

しばらくは、ネットワーク系のセキュリティをやって、それから他に広げていく。
4-7561-4587-6.jpg
posted by tamaso at 22:49| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

新制度「情報セキュリティ」のサンプル問題をやってみた

テクニカルエンジニア(情報セキュリティ)の試験問題として公開されているもの。公開当初は、ちょっと難しすぎたのだが、ネットワークをぼちぼちと学習し始めて、少しは分かるかと、午後1のサンプル問題をやってみた。

大テーマは、完全性の維持。そのための「監視ツール」活用に関する問題だ。ただし、トロイの木馬、という「機密性」に関するテーマもある。ツール導入について、現場感覚が試される問題のようだ。「人」よりも「システム」が対象になっている。確かに、テクニカルエンジニア寄りになっている。

設問1
問題文の冒頭にファイアウォールの説明があり、パケットフィルタリングの、軽めの設問。TCP、UDPの知識とか、上層にあるサービスとポートに関する知識が試される。この辺りは、セキュアドではやや難問の部類に入る、少し深めのもの。ただし、エンジニアなら当然知っているべき知識だ。よく読むと、ヒントもある。
後半は、IDSの機能比較。ここは、推測でも解けなくはない。パケットをチェックするか、サーバに対するアクセスをチェックするか、である。改ざん防止が目的なら、本来はサーバのアクセスを見たほうが良いように思う。HTTPやHTTPSを通り抜けるパケットだけに、パケット監視では改ざん防止は厳しい。

設問2(1)
ここはまだ勉強不足。IDSの学習ができていないので想像の域になるが、パケットは、ファイアウォール通過の際は細切れで、上層で組み上げられる。従って、細切れのパケットの監視では、不審なコマンドの通過が見つけられない、ということか。

(2)
暗号化したパケットはチェックが及ばない、とあるから、HTTPSはチェックできない。ここも、テクニカルではあるが、セキュアドレベルの基本的な知識を問う問題。

設問3
ここは、送信メールの内容を読み取れるかがポイントか。定型フォーマットの中身は、「注文内容の確認」「会員情報の照会結果」「など」とある。個人情報が含まれるので、アクセスは特に制限される必要がある。ここからは、現場の経験があれば易しいと思う。保存場所として、どこが安全か、保存する目的は何かが分かれば、目的が済むまでが保存期間だということも分かる。

設問4
「監視対象となっているネットワーク」に「通知のメール」を流すと、それも監視されてしまう。定型フォームしか流れていなければ、「不審メール」の発見は容易になる、という理屈であったことに気づけば、別の回線でメールを流す理由は分かる。

前半は、テキストレベルの知識で解答できそうだが、後半は、実践感覚が必要なようだ。この辺り、テキストよりも雑誌などの記事が参考になるかもしれない。
posted by tamaso at 00:58| Comment(0) | TrackBack(3) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2005年10月23日

入門書で、まずはネットワークの勉強を始める

以前に公開された「テクニカルエンジニア(情報セキュリティ)試験 サンプル問題」だが、軽い気持ちで眺めてみたが、意外と、というか、かなり難しいものだった。技術的な、広さ・深さのある知識の補充が必要と、このとき感じた。

というわけで、ネットワークの受験対策本を購入した。網羅的に書かれていて、全体を大きくつかむには良かったが、詳細はやはり専門的。不明な用語が多く、ちょっと歯が立たなかった。

従って、もう少しレベルを下げて、まずは入門書からスタートさせることにした。OSIの各階層の「役割」とか「仕事」、TCP/IPの各階層での同じく内容あたりを読む。パケット、ポート、ルーティングなど、雑誌からの再編集ということもあるのか、非常に良く書けていると思う。昨日が1時間、今日は2時間だっだが、これで半分ほど。

さしあたり、「TCP/IP」からスタートさせて、一冊仕上がったら、もう一度対策本に戻って読み直してみることにする。読めれば正解というわけだ。

一応、年内に、ネットワーク1カ月、データベース半月、セキュリティ1カ月として、1月からは午後の答練がスタートできればベストスケジュールということで行こう。
posted by tamaso at 22:19| Comment(4) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

広告


この広告は60日以上更新がないブログに表示がされております。

以下のいずれかの方法で非表示にすることが可能です。

・記事の投稿、編集をおこなう
・マイブログの【設定】 > 【広告設定】 より、「60日間更新が無い場合」 の 「広告を表示しない」にチェックを入れて保存する。


×

この広告は1年以上新しい記事の投稿がないブログに表示されております。