2006年03月30日

試験の目標は「合格」ではあるが 〜 テクニカルエンジニア(情報セキュリティ)試験対策

今日も同じく、午後1を2問。それと入門書を数節読む。知識は一定の量を超えると、点在したイメージから面のイメージに変容するようだ。要するに、「話がつながってくる」というわけだ。

さて、今の時点で獲得できた知識・スキルは、合格するため「だけ」のものだろうか、ということを考えてみた。というか、既に「使えている」という実感はある。

試験には、大きく三種類あると思う。
ひとつ目は、受験者のうちの上位何名かを合格とする、「選抜試験」のようなもの。合否は、試験問題ではなく、競合する他の受験者との関係で決まる。本試験では、とりあえず全力は出したほうが良いが、余裕があれば流してでも合格はできる。
ふたつ目。一定の得点を超えたものを合格とする、「資格試験」のようなもの。基本的には、試験問題の難易度が合否の決め手になる。これも、余裕のある者と希望もない者がいたりする。全力を出すべき者は、「境目」にいる者だろう。
みっつ目は、スキルを得点という定量的なデータにして、どの程度のレベルにあるかを評価する、「検定試験」のようなもの。もっとも、これは合否で判定するものが多くある。TOEICテストをイメージすればいいと思う。これは、全員が全力を尽くす必要がある。

さてさて、情報処理技術者試験というものがあるが、これは、現実にはふたつ目になるのだが、結果は「合否」のほかに「得点」も通知される。みっつ目の検定試験の一面もあるといえる。

合格が目標。これに変わりはないが、自らの「身の程」を知ることも同時にできる(ただし、せめて午前はパスしておかないと、採点されない)。つまり、合格してもしなくても、自分自身によるもう一つの目標が設定できる、と言えなくもない。

600点で満足せずに、より高得点を目指すことで、セキュリティ・エンジニアとしての自信を高めるのもいいし、不合格であっても、一定の得点を取ることで、使える力があるとかないとか判定することもできるわけだ。

実際、現場の情報セキュリティを預かる者は、資格のあるなしで評価されるものではなく、知識やノウハウを機能させるスキルがあるかどうかを問われるわけだ。そういう意味では、全力を尽くすべきは本試験より現場で、なのかも知れない。
posted by tamaso at 00:34| Comment(0) | TrackBack(0) | 雑感 | このブログの読者になる | 更新情報をチェックする

2006年03月29日

セキュア・プログラミングの押さえどころ 〜 テクニカルエンジニア(情報セキュリティ)試験対策

今日は、午後1が2問。懐かしいサンプル問題がそのうち1問。初めて見たときは「これは大変だ」と思ったが、今なら(当たり前なのだが)、基本問題という感じに見える。

それと、いつもの入門書。こちらは「セキュア・プログラミング講座」の復習という趣きで、これも「うん、うん」といったところ。セキュリティに関わる者は、エンジニアでも管理者でも、基本は「厳格である」こと。できることはキチンとやる。ただし、うまい方法もある。ここらは試験に出るとか、そういうことではないが。

ネットワーク系の入門書は、だいたいが「本丸」の手前までの手口が書かれてあるように思う。攻めてくる経路、守りの破り方、よくある穴のあり場所、など。プログラミングでも、「備え」とか「構え」の部分が多い。

だが、試験では更に奥、本丸の内側への侵入・破壊も含まれるわけで、いわば、部屋の間取り、階段の位置、守備隊の隠れ場所、そして、大将の居場所、これらへの対処を知っておかねばならない。要するに、システム本体の弱点を押さえておかねばならない、ということだ。

プログラミングの最終的な押さえは、言語に行き着くことになるだろう。外回りを受け持つ、Perlやhtmlではなく、CやJavaあたりの知識・セキュリティの手法ということになる。ここまでくると、BOFだけでなく、変数やパラメータへの干渉まで見なくてはならない。

セキュア・プログラミングは、最後の守りであり、また、基本の守りでもある。
posted by tamaso at 00:14| Comment(0) | TrackBack(0) | 受験技術 | このブログの読者になる | 更新情報をチェックする

2006年03月27日

コントロール(掌握)という考え方 〜 テクニカルエンジニア(情報セキュリティ)試験対策

今日は、午後1問題を3問ほど、軽く流し気味にやる。それから入門書。こちらは相変わらず読むだけだが、30分ほど。

午後1の予想問題は、相変わらず知識要件というか、知っているか/知らないかを問う問題が多いのだが、これはこれで知識の整理には役立つ。が、本試験は知識ではなく「見識」を問う問題になるだろう。

入門書に書かれてあることは、どういう部分が「脅威」で、どういう「攻撃」が行われるか、ということ、それに「対策」ということになるのだが、実はもっと重要なことが書かれてある。

重要なものが、今、どこにあるか。サーバにしかないのか、クライアントにあるのか、ネット上を走っているのか。サーバにないものは「掌握」できていない、というのが基本的な考え方。したがって、手にないものは「改竄」される「盗聴」される「悪用」される、など、脅威にさらされていると考えたほうがいい。隠したつもりでも隠れていない、チェックしたつもりがチェックの仕組みそのものが変えられている、ログはもちろん第三者が見るという前提。

こうして見ると、何をどこでコントロールすべきか、何を守るべきか、どうやって隠すか、これらに、はじめて「技術」「手法」が適用されるわけで、この時点でようやく「知識」の出番となる。

だからこそ、経験とかケーススタディ(良質な問題も)を数多く積上げることが必要になるということなのだろう。

物事が見え始めると、面白さが更に増す。残りわずかの時間ではあるが、濃密な時間にしたい。課題は、体調の管理ということになる。
posted by tamaso at 23:18| Comment(1) | TrackBack(0) | 受験技術 | このブログの読者になる | 更新情報をチェックする

2006年03月25日

結局1問だけ 〜 テクニカルエンジニア(情報セキュリティ)試験対策

寝不足がたたり、今日は集中することはおろか、五分ともたず眠くなる。どうにかこうにか、午後問題を1問、形だけ片付けたといったところだ。こういうときは仕方ない。明日、再起をかけるということで無理はやめた。

さて、いまさらとは思うが、プログラミングに関する分野は、テキストも内容がうすく、問題集もボリュームに欠けるので、入門書で補強する。もともとエンジニア向けのものなので、用語とか展開はやや飛ばし気味の内容だか、今の知識なら難解ということもない。逆に、この内容が難解に感じるようでは本試験も怪しいと言えるだろう。とにかく、これは読むだけだが、できればノートにまとめるなど、効率的なインプットを目指したい。

posted by tamaso at 22:43| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

テキスト・問題集をチェックリストにする 〜 テクニカルエンジニア(情報セキュリティ)試験対策

次の連休は、久しぶりに自由に使える時間が多い。スケジュール+集中力で、進捗度を大きく稼ぎたい。

以前の受験対策でやったのが、チェックリストだ。午後1問題なら26問分のチェックボックスを作る。テキストなら章ごとにチェックボックスを作る。あとは、片付けるたびにチェックリストを消しこむだけだ。

これだけのことなのだが、結構効果があった。チェックリストの消しこみが、わずかだが脳に良い刺激(快感物質かもしれない)を与えるのか、集中力が持続する。また、少々キツいスケジュールでも、あと少しの頑張りが利く。

ある意味、テレビゲームなどでついつい「もう一面」と、時間を忘れてのめり込む行為と似ているような気がする。
posted by tamaso at 00:57| Comment(0) | TrackBack(0) | 受験技術 | このブログの読者になる | 更新情報をチェックする

2006年03月23日

プログラミングは、ネットとローカルに分けて考える 〜 テクニカルエンジニア(情報セキュリティ)試験対策

午後1は今のところ1日1問のペース。午後2に慣れると、これぐらいではやや手応えが弱い。あわせて、セキュアプログラミングの復習もやる。

現在、入門書で復習している部分は、Webプログラミング。主にPerlとPHPということになるのだが、PHPは流してもいい。試験範囲外、という認識だ。

Perlが単独で存在するというより、データベースとかCGI、UNIXと組み合わされてリスクが発生する。つまりPerlで組んだプログラムに「穴」があると、OSごと乗っ取られたり、乗っ取られないまでもデータを消されたりする可能性がある、ということになるわけだ。また、ページの設計が甘いと、認証もパスワードも破られ放題、ディレクトリ・トラバーサルとかも、である。

テキスト代わりの入門書は、受験のために書かれたものではなく、むしろ、エンジニアに対する警告みたいなものだ。それだけ「甘い」サイトが多いということなのかもしれないし、そういう指摘も書かれてあった。ということは、当然というか、そういうスキルが求められ、試験で試される可能性が高い、ということだと思う。
posted by tamaso at 23:51| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

セキュリティはプロセス 〜 テクニカルエンジニア(情報セキュリティ)試験対策

昨日購入したセキュアプログラミング関係の入門書。入門書とは言え、一応SE向けということもあって、用語とかは手加減をあまりしていない。

セキュリティは、一方では守りを固めるというか、物理的・論理的に堅牢なシステムを構築しておくとか、穴をきっちり塞ぐとか、ちゃんと暗号化・認証のしくみを組み込んでおくなど、そもそもの防御策を施すというスタンスがひとつ。

それともうひとつに、「バグ」「セキュリティ・ホール」対策など、欠陥をきちんと修繕しておくというスタンス。プログラミングの観点で言うと、こちら側が中心の話になる。

そもそも、コードを新しく書き起こしたりすると、その時点からバグの危険性が存在することになる。初心者は、特定の関数や機能を避け、比較的セキュリティの安全性が高い部分を受け持つか、プログラミングに関わらないのが基本だ。とはいえ、ベテランだろうとバグのリスクはある。要するに、どういう部分にその危険性があるのか、どうやると危険性が増すのか、そういうことをある意味「感覚的に」理解できる必要がある。

対策の手法だとか、技術用語とか、個別のテクニックを憶えるというよりも、設計や開発、運用などの流れの中で、セキュリティ対策の適用を考えるというのがセオリーなのだろう。

安全運転が、技術論ではなくシチュエーションごとの危険予測やドライバー心理をマスターすることを中心に考えることと似ているように思う。
posted by tamaso at 00:00| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2006年03月21日

セキュアプログラミングを再度学習する 〜 テクニカルエンジニア(情報セキュリティ)試験対策

テクニカルエンジニア(情報セキュリティ)試験では、セキュアプログラミングが出題されるのはほぼ間違いないと思う。例えば、午後1の必須問題とか。

過去問、予想問題をこなす中で、ネットワーク系やそれに関連して、認証・暗号などは何度も「訓練」をつむことができるのだが、プログラミングに関してはその機会が少ない。

最後まで、この両者についてはスキルを上げる必要があると思うので、プログラミングに関しては主に「入門書」を、ネットワークに関しては「問題集」を中心に、両方に取り組むことにする。

このところ時間の捻出が難しくなってきている。平日は帰宅が遅いし、休日はミーティングや会議など会社以外での召集も多い。電車の中の1時間ほどが、これからは貴重な時間になりそうだ。モチベーションと体調の維持を意識しておきたい。
posted by tamaso at 23:26| Comment(0) | TrackBack(0) | 受験戦略 | このブログの読者になる | 更新情報をチェックする

午後1問題をふたたび 〜 テクニカルエンジニア(情報セキュリティ)試験対策

退社が遅くなったため、今日は寄り道せずに電車の中で問題集をやる。午後2問題は一通り片付いたので、今日は午後1問題。後ろからやるのは、前半ばかりを繰り返しやるのを避けるため。

組織の管理に関するテーマだ。もともとシステム監査の午後1で出された問題だ。さすがに午後2に慣れてくると、午後1問題は軽く感じる。さて、この組織に関する問題だが、テクニカルエンジニアという視点で見るとやや遠い感じがする。契約であるとか、システム開発中の機密管理や開発後の処理について、いわゆる「手法」や「技法」がからまない。

それももっともな話で、そもそもシステム監査のスキルを試す試験だから、あまりテクニカルな問題は出されることはない。従って、この手の問題は「正解」を出すことに主眼を置くのではなく、仕組みや手順、データの受け渡しや管理のどこに脆弱性があるかを見つけることに注力する。

弱点を攻撃者や悪意ある第三者の視点で見つけることは、システムのセキュリティ対策につながることになる。弱点を「管理的」に対策するか「技術的」に対策するか、管理者とエンジニアの違いは、この違いと言ってもいいかもしれない。
posted by tamaso at 01:03| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2006年03月19日

セキュリティのチェックシート 〜 テクニカルエンジニア(情報セキュリティ)試験対策

本試験まで1カ月を切った。休日だけでなく、平日もうまく時間をマネジメントして、演習を中心に「現場対応力」を付けるのがいいと思う。

さて、市販のテキスト・問題集は、どうしてもネットワーク系が中心で、プログラミングは情報が少ない。本試験では、午後は三分の一はプログラミングが出題される可能性があるようにも思うので、ここの強化は欠かせない。

テキスト代わりになるのは、以前にも紹介した「セキュアプログラミング講座」が適当かと思う。

http://www.ipa.go.jp/security/awareness/vendor/programming/index.html

さて、よくある直前対策だが、それも、ここのチェックリストが使える。全体をカバーしているので、やや範囲が広がっているが、一通り読んでみて、不明な部分があれば強化する。

http://www.ipa.go.jp/security/awareness/vendor/programming/pdf/a_check.pdf
http://www.ipa.go.jp/security/awareness/vendor/programming/pdf/b_check.pdf
posted by tamaso at 21:34| Comment(0) | TrackBack(0) | 受験技術 | このブログの読者になる | 更新情報をチェックする

広告


この広告は60日以上更新がないブログに表示がされております。

以下のいずれかの方法で非表示にすることが可能です。

・記事の投稿、編集をおこなう
・マイブログの【設定】 > 【広告設定】 より、「60日間更新が無い場合」 の 「広告を表示しない」にチェックを入れて保存する。


×

この広告は1年以上新しい記事の投稿がないブログに表示されております。