2006年04月09日

午前問題とプログラミングなど 〜 テクニカルエンジニア(情報セキュリティ)試験対策

夜更かしがたたり、今日も予定の時間は確保できず、4時間あまりを充てる。とはいえ、予定より進行は早いので間に合いそうには思う。

午前問題は、60問ほど。まだ不明な用語があり、そこの取りこぼしがいくつか。これは憶えるだけのものなので、一通り片付けたら、ノートでもとりながら復習ということになる。用語やプロトコルは際限がないので、いまのところは問題集の範囲でとどめることにする。

さて、午後問題は今日は手をつけずに、プログラミングのテキストを読む。「精読」というような読み方ではなく、ざっと、ポイントの整理だ。プログラミングに関する知識は、一般的な甘い設定やプログラミングによる「脆弱性」の把握と、比較的安全な(漏れのない)「対策」のポイント、の2つの範囲に収まるだろう。脆弱性は、具体的な攻撃手法とペアになる。使ってはいけない関数とか、注意しておくべき設定などだ。

また、対策については、もちろん上の脆弱性と関係するが、どのタイミングでどの手法や関数・キットなどを用いるか。よくある入力データのチェックでも、エラーで戻すかサニタイジングで逃げるか、いつやるか、チェックの方法は安全か、などをチェックしておく。

テキストのつもりで買ったセキュア・プログラミングが最近面白くなってきた。「感覚」というか「感性」というか、そういうものを得るにはいいかもしれない。
posted by tamaso at 22:39| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2006年04月08日

とりあえず、相手を疑う 〜 テクニカルエンジニア(情報セキュリティ)試験対策

ネットワークによって、サーバとクライアントはつながる。攻撃を目論む者は、サーバから、あるいは、クライアントから、不正なコードを相手に送り込む。

相手を、とりあえず疑うというのも、セキュリティの基本的な考え方だ。おおむね、企業のセキュリティ技術者は、まず、情報の保護を考えるとサーバを守ることを考える。

が、それだけではない。現在では、SEが仕事を持ち帰り、営業はファミレスで仕事をする。彼らがはたして正式な企業のサーバだけに接続するかどうかは、疑問である。もちろん、指導はするのだろうが、ここでも、とりあえず疑う必要がある。

彼らが不正なコードを送り込むサーバに接続することは、ありえない話ではない。彼らのモラルだけでリスクをヘッジできるものではないので、当然対策が必要になる。技術的なものと管理的なもの、大抵の場合は「教育」など、管理的手法があげられるが、技術的な手法でガードする。これも技術者の仕事だといえよう。

うっかり訪れたサーバには、クライアントのほとんどの情報が「足跡」のように残される。それを前提に考えておく必要はある。
posted by tamaso at 23:10| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

ようやく時間捻出 〜 テクニカルエンジニア(情報セキュリティ)試験対策

今日は2時間、しっかりと時間が確保できた。というわけで、午前対策は40問。うち、20問はセキュリティ分野に踏み込んで。

セキュリティ関係の問題は、一応「満点」狙いでやってみたが、計算問題とプロトコルの一部で取りこぼす。計算問題は、まあ、うっかりというか横着な計算をしたためのミス。気をつけよう。プロトコルは、少々厄介で、とにかく種類が多いのと、優先順位がやや不明確だ。このあたりは、時間も残り少ないが、繰り返し解いて憶えるしかないと思う。憶えきれないものは諦めるというのも選択肢だ。

さて、後半の1時間は、データベース系のセキュリティ。実際はSQL関連ということだ。SQLというと、すぐに思いつくのは「SQLインジェクション」。これに関しては、事前に入力をチェックするのとサニタイジングが基本。他のインジェクション問題と異なるのは、SQLに限定されていることもあり、先にチェックをする、という点。

大抵の場合、出力(表示)の際にチェックやサニタイジングをするのが基本になるが、今回は先にやっておく。

そのほか、権限の調整がある。アプリケーションで利用するアカウントは、データベース管理用のものとはちゃんと使い分ける、ということ。事象が発生しても、被害を押さえ込めるように設計しておく。また、ID・PWは、スクリプトやプログラムの中に埋め込まない。外部を参照する方法がある。

Perlは、この手の問題が出題されれば、与件などに現れるだろうが、現実には注目する点は、プログラミングやコーディングの部分ではない。
posted by tamaso at 00:26| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2006年04月06日

予期せぬ残業で 〜 テクニカルエンジニア(情報セキュリティ)試験対策

二週間のうちの二日間、と思うと結構ダメージがある気もするが、半年間のうちの二日間と思えなくもない。まあ、考え方次第なので、これは残り少ない後日に取り返す。

平日の2時間は、ほぼ、20時から22時の2時間を充てている。最近は、駅の構内のコーヒーショップなので、列車の定刻までギリギリ粘れる。2時間の遅れは、2日に分けて1時間ずつ延長するという手もある。また、電車の中の居眠りの時間を充てることもできる。要するに、「差異」の認識と「対策」ということだ。

現実には、この2時間がどうということはないだろう。そういう短期の対策は、試験の対策にはなっても、セキュリティ技術者としての見識にたいした影響はない。

何度も経験したことだが、本試験では「見たこともない問題」に出会うことがよくある。それでも、解答の方向性を見出し、知識を適用して、設問に相応しい文章にまとめられるのは、「現場対応力」つまり、試験会場で必要とされることというより、本当にセキュリティのスキルが必要な場面だと思う。

見識の習得は、テキストを読むとか問題を解くとか、それを超えたところにあるように思う。
posted by tamaso at 23:19| Comment(0) | TrackBack(0) | 雑感 | このブログの読者になる | 更新情報をチェックする

2006年04月05日

今日は休む 〜 テクニカルエンジニア(情報セキュリティ)試験対策

今日は診断協会の研究会などいろいろで、時間の捻出はできず。それよりも、飲んでて勉強ができるわけもない。

平日は2時間、土曜日は8時間、日曜は7時間、これで週に25時間ということになる。平日といえども時間は大切な資源だと言える。無駄にはできない。

時間が押したときは、どうしても寝る時間に負荷がかかるのだが、これは「借金」のようなもので、翌日には「利子」がつく。つまり、勉強の効率が落ちるのだ。眠いと集中力が足りなくなり、特に「読む」力が極端に落ちてくる。書くための意欲もはっきりと減退が実感できる。

時間とか、睡眠とか、また、いろいろな予定のコントロールは、それなりに精神力が必要となるのだが、そのためには「目標設定」がとても重要だと思う。いつまでに、どれだけやるか、これをきちんと(数値として)設定しておくことで、現在の進捗状態や差異が明確になる。

勉強が進んでいないと、なんとなく焦ったり、いらいらしたり、場合によっては諦めたりするものだが、これは目標設定が曖昧だからだと思う。思うように進捗していない「らしい」が、どれぐらいの遅れかが分からないと、頑張る目安が見えないからだ。プロジェクト・マネジメントの基本でもある。

本試験が、最後の5分の差で合否を分けるように、これからの10日間の使い方が合否を分ける場合もある。最後の最後、試験会場に向かう電車で読んだ問題で助かることもあるのだ。
posted by tamaso at 22:59| Comment(3) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2006年04月04日

Webの基本と午前対策の2回目 〜 テクニカルエンジニア(情報セキュリティ)試験対策

東京出張があり、いつものコーヒーショップの滞在時間は出張から戻ってから1時間。新幹線の車内では集中しにくいが、そちらはとりあえずテキストを読むぐらいで済ます。

テキストは、Webに関連したセキュリティの押さえどころを一通り。ざっと、次のポイントが頭に入っているか、だ。午後問題として作りやすい切り口ではある。

1.入力データのチェックをクライアント側スクリプトに頼っていない。
2.全ての入力データからHTMLタグとなりうる文字「<」「>」を取り除いている。
3.HTMLにデータを埋め込む際には必ずHTMLエンコーディング(「<」「>」「&」「"」「'」→「<」「>」「&」「"」「'」の置き換え)をしている。
4.保護が必要な全てのページにユーザ認証機構を組み込んでいる。
5.事前に推定可能なセッションIDを用いていない。
6.重要なデータのキーをURLのクエリストリングで受け渡していない。
7.hiddenフィールドでデータを受け渡していない。
8.WWWブラウザから送られてきた<SELECT>の<OPTION>項目の値,ラジオボタン項目の値,チェックボックス項目の値についても入力チェックを行っている。

ざっと眺めて、「あぁ、そのことか」程度の理解でいいかも知れない。

午前は、40問。計算問題などは手間取ることになるが、本試験でも時間のかかる問題になるだろう。もっとも、計算問題は「知識問題」ではなく「スキル問題」なので、知っていると侮っていると失敗する。何度か、同じ問題でも手を動かして解いておく必要がある。一旦身につくと、逆に加点問題になる。

明日は、診断協会の研究会のため、時間はほとんど取れない。体調を整えることを考えよう。
posted by tamaso at 23:57| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2006年04月03日

まずは、1日目 〜 テクニカルエンジニア(情報セキュリティ)試験対策

会社の仕事は、土曜日に出勤して一段落。今日は定時退社して、受験対策をする。

午前問題は、IT全般の基礎という範囲だが、得手/不得手というか、分野によって出来る/出来ないがはっきりしている。間違えた部分は、その場で解説を読んで補修する。これでも改善は30%程度だろうか。手始めの20問は、ややてこずって60%程度のできだった。

もう1時間は、C++の対策。「特訓」とまではいかないが、BOFのほかにメモリリークやsystem()関数など、これはSQLインジェクションとよく似ている。まあ、手口というものもパターンがあるようで、慣れるとこの辺りが見えてくるのだろう。

明日は東京に出張なので、時間は1時間に短縮される。車内でテキストが読めれば、その分は補強ということになるが、新幹線の車内は環境としては良好とはいえない。あてにはしないで、できれば儲け物というスタンスで臨む。
posted by tamaso at 22:42| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2006年04月02日

あと50時間 〜 テクニカルエンジニア(情報セキュリティ)試験対策

週末は予定があり、充分な時間がとれなかった。ここからは、ちゃんと時間込みで計画を組むことにする。

平日は、2時間を原則として充てる。これで週10時間だから2週間で20時間だ。平日は、土曜日が8時間と日曜日が7時間として15時間、2週間なら30時間。よって50時間が使えることになる。

演習問題に30時間、うち20時間が午後、午前は10時間あれば充分だろう。不足している知識は、随時確認しながら、残りの20時間に充てる。ただし、プログラミングは問題集には出題が少ない。ここは弱点補強以外にも学習をしておく。

さて、あとはこの時間を捻出することと、集中のための睡眠時間の確保も必要。仕事もそうだが、他のこともしばらくは控えめにする。スケジュールの維持は、日々の確認と反省、まあ、こんなところだろう。
posted by tamaso at 21:57| Comment(4) | TrackBack(0) | 受験技術 | このブログの読者になる | 更新情報をチェックする

時間の問題 〜 テクニカルエンジニア(情報セキュリティ)試験対策

受験票が届いた。会場は、以前、情報セキュリティアドミニストレータを取った時の会場と同じだ。ほぼ毎回、試験のたびに会場が変わるのだが、偶然か必然か、とにかくゲンがいい。

さて、もう4月になってしまった。これからは時間との勝負ということになる。まずは、補充の必要な知識・スキルの書き出しと、問題集の消化計画を立てる。無理にならない程度で、きっちりと消化できると気分が良い、というスタンスで考えることにする。

午前問題は、今のレベルだとセキュリティについては及第点、苦手な分野は理解度で6割程度とみた。まあ、確かに過去の試験で何度も経験している分が役に立つ。ただし、去年の秋は「免除」だったので一年ぶりだ。油断はできない。

午後は、問題演習でネットワーク系はかなり進んだと思う。プログラミングは、Web系がやや先行し、C++やJava系は、以前に一通り読んだ程度。ここも憂いを残さないように片付けていく。

会社の仕事も、山は越した。ここからは、ほぼ100パーセント注力で、合格を目指そう。わずか2週間のことだ。
posted by tamaso at 01:43| Comment(0) | TrackBack(0) | 受験戦略 | このブログの読者になる | 更新情報をチェックする

2006年04月01日

書く訓練も必要 〜 テクニカルエンジニア(情報セキュリティ)試験対策

午後1も午後2も、設問に解答すべき字数には、パターンというようなものがある。実際には他の科目の過去問から推定ということにはなるが。

多くても50字程度、35字や20字というものもある。書いてみれば分かることだが、20字だと、ポイントを書き出すということしかできない。つまり、ポイントを求めているという解釈もできる。「どこか」「なぜか」「なにか」のようなものだろう。

字数が多いものは、当然複数の内容が含まれることになってくる。理由と対策、問題点と対策や理由、留意点など、どこをどうする、〜なので〜である、というパターンではなかろうか。

実は、ポイントを一言で突くというのは、それなりのスキルが要る。急所といってもいい。要するに、セキュリティもまた、他の問題と同様に「押さえどころ」があり、それは試験だけでなく現場でも同様ということだ。

核心は大抵の場合、シンプルなものだ。
posted by tamaso at 00:09| Comment(0) | TrackBack(0) | 受験技術 | このブログの読者になる | 更新情報をチェックする

広告


この広告は60日以上更新がないブログに表示がされております。

以下のいずれかの方法で非表示にすることが可能です。

・記事の投稿、編集をおこなう
・マイブログの【設定】 > 【広告設定】 より、「60日間更新が無い場合」 の 「広告を表示しない」にチェックを入れて保存する。


×

この広告は1年以上新しい記事の投稿がないブログに表示されております。