2006年02月13日

システムの運用(午前対策) 〜 テクニカルエンジニア(情報セキュリティ)試験対策

今日も午前の問題に取り組む。約1時間かけて、システム運用に関する分野を片付けた。

システムの運用は、セキュリティでいうと主に「可用性」にかかわる部分にあたる。障害のあったときの対応だけでなく、システムの冗長性を高めたり二重化して障害に備えるとか、保守の方法論など、多様な内容である。

エンジニアとしては、障害に備えるというのが基本で、それも、一般論というより実践的な技術・設計の適用ができるかどうか、である。また、障害が「事故」あるいは「悪意」によって発生するという場面での対応も、問題として想定できそうだ。単に、障害を回復させるだけでなく、正しい手順と、原因と対策を考えるという発想が必要だ。

午前の問題には、午後問題の要素が多数あるように思われる。
posted by tamaso at 22:54| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2006年02月12日

システム開発の基礎をやる 〜 テクニカルエンジニア(情報セキュリティ)試験対策

引き続き、午前問題に取り組む。今日はシステム開発に関連する問題をまとめて片付ける。この辺りの問題は、昨年春のシステム監査の試験以来だ。

システム開発だけでも、内容は広範囲で、設計技法やスケジュール管理、工数やコストの見積もり方法、テストの方法や開発言語などなど、である。情報セキュリティを受け持つテクニカルエンジニア、という視点では、取り立てて必要のない知識というものもありそうだが、試験に出るのなら、一応マスターはしておかないといけない。

それに、開発工程を理解することは、セキュアな開発環境を考えるときには役に立つ。セキュリティホールや、その他の脆弱性など、リスクの発生が工程のどの部分に起きやすいかは、知っておく必要がある。そもそも、ネットワークで侵入者を防御する以前に、まずはシステムが堅牢であることが本当は必要なのだ。そうした上で、それでも脆弱な部分があるとすれば、そこはネットワークの仕組みでカバーすることになる。

それにしても、問題の量が多い。2時間弱、ずっと解答し続けるのは、さすがに疲れる。
posted by tamaso at 22:25| Comment(0) | TrackBack(1) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2006年02月11日

攻撃の手口からのアプローチ 〜 テクニカルエンジニア(情報セキュリティ)試験対策

情報処理技術者試験の午後問題には、対話が用いられることが多い。上司と部下や、クライアントとエージェント、などである。予想問題もまた、それを模して作られることが多い。ただし、こちらがやや洗練されていないのは時間がないからかもしれない。

それから、中身だが、情報セキュリティの場合、大きくは2つのパターン。システムの構築前と構築後だ。構築前は、もちろん「事件」はまだ起きていない。従って、問題のパターンは、脅威の想定と脆弱性の発見、それに対する対策の検討となるわけで、そのロジックが問われる。よくあるのは、先に対策の具体的な内容が示されていて、その理由を訊くもの。あるいは、間違った対策があって、その間違いの指摘と正しい対策の提案を求めるもの。

構築後なら、事件が起きる。手口を推測させるものや、事件の影響や「犯人」が残した手がかりを探すもの、更に、今後の対策を考えるというものもあるだろう。いずれも、新種の手口を考えることは重要ではなく、今、比較的深刻になっている事件を取り上げるというのが、問題作りとしてはオーソドックスだと思う。というのは、少なくともセキュリティ技術者は、今のセキュリティ問題に対応できる必要があるからだ。

というわけで、手口を良く知る必要もある。特に、テキストなどをよく読めば、その深刻さによって分量も内容も差があるはずだ。そこをポイントにインプットするというのが良いだろう。

posted by tamaso at 21:46| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2006年02月10日

穴埋めのつもりでテキストにあたる 〜 テクニカルエンジニア(情報セキュリティ)試験対策

昨日の午前対策につづいて、今日は弱点の強化。OSへの攻撃とその対策を少し。

ネットワークを通じて、OSの脆弱性を攻撃するパターンはいくつかある。テキストの順に従うと、例えば、Perlのopen関数がある。ファイルパスに「|(パイプ)」を使うパターンだ。午後の問題なら、open関数をsysopenに変更する理由、あるいは、これそのものを解答として求めさせる、という形がありそうだ。以前に書いた、WebでのGETとPOSTの違いのようなものと似ていなくもない。関数には、いくつか危険なものがある。使わない、他のものに置き換える、が基本。また、特定の文字「|」「<」「>」など、これを単純にサニタイジングするパターンがある。

さて、このあたりはまだ理解しやすいのだが、プラットフォームとしての見た場合のOSへの攻撃とか対策は、やや難しい。対象となるOSは、UNIX、Windowsが基本のようだ。開発やシステムに直接かかわらないと、このあたりに触れることはあまりない。Jitecでは、OSについては、言語のように対象を明記してはいないが、試験の目的は「実践に活かせるスキルの認定」であるから、この二種類を押さえれば充分だろう。
posted by tamaso at 23:30| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2006年02月09日

午前問題でバグ出し 〜 テクニカルエンジニア(情報セキュリティ)試験対策

午前問題に久々に取り組む。これで一応一回りした。苦手な分野と、問題ない分野が割とはっきりしたのは収穫だ。

今回判明した苦手な分野は、OSに対する攻撃と脆弱性に関する知識、TCP、UDPの仕組みを使ったDOS攻撃の仕組み、それから、ISOなどの基準・標準と法律などとの関係だ。

特に、知識が欠落していると思われる部分は、再度テキストでインプットをする必要がある。インプットが完了したら、午前問題をもう一回りさせる。次の土曜日で完了させるのが理想だ。

一通り、問題にあたってみて感じたのは、問題集の「網羅性」。一度、通信教育でシステム監査にチャレンジしたことがあるが、このときは模擬試験が古く、本試験の範囲を網羅できていなかった。午前問題は深さよりも広さが問われるが、問題集にカバーしていない部分があると、その部分はリスクになる。それを知る手段はあまりないが、100%信頼するには根拠が薄い。

今はそのスタンスでいいと思うが、期限が迫れば、切り捨てることも考える。
posted by tamaso at 23:18| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2006年02月08日

最も集中できる場所 〜 テクニカルエンジニア(情報セキュリティ)試験対策

テクニカルエンジニア(情報セキュリティ)試験、いわゆるSVの対策として、インプットとアウトプットを続けてきた。テキストや入門書などの知識を憶えること、問題集を中心に解く練習をすることだ。

憶える、は、読むことでも可能だが、記憶の定着は書くほうが良い。繰り返し読むことを考えると、書いたほうが効率的だともいえる。ただし、「写す」ではない。意味を理解して、ダイジェストを書くということ。これには、集中力を必要とする。

経験的に言えば、最も集中できる場所は「図書館」の自習室。ただし、時期により混雑が激しい。早朝から開館を待って席取りをすることもよくあったが、混雑とともに集中力を阻害されることもしばしばだ。ということで、このところは「コーヒーショップ」を使うことが多くなった。ここは、平日の夜も使える。

以下に、場所の特徴をまとめてみた。
・図書館 静かではあるが、むしろ小さな音がかえって気になる。基本的にアウトプット向き。自習を禁止する図書館も多い。
・コーヒーショップ スターバックスなど。夜は比較的すいているが、テーブルはやや小さめで、書くにはやや不便ではある。
・ファーストフード マクドナルドなど。早朝から営業。2階席があれば落ち着いて勉強ができる。テーブルも広めで便利だが、昼間はうるさい。
・電車 読むにはこれでも間に合う。集中はしやすいが、読むだけだと寝てしまうこともある。ヘッドホンで聞く勉強には適しているかも。
・新幹線 長時間、「読む」を中心の時間はとれるが、狭い・落ち着かない、などで集中はしにくい。雑誌などの情報収集程度なら可能。
posted by tamaso at 23:37| Comment(0) | TrackBack(0) | 受験技術 | このブログの読者になる | 更新情報をチェックする

2006年02月07日

Webサイト運営のセキュリティ 〜 テクニカルエンジニア(情報セキュリティ)試験対策

今日はセールスプロモーション講座で、受験対策の時間は少ない。結局、帰りの電車の中で、Webサイト運営の「留意点」というもの一通り読んだ。

Webサイトに関して言えば、最も重要なことは、設計から実装の段階で、安全なサイトを作り上げること。そもそも脆弱性を組み込まないことが、スタンスとしては基本になる。とはいえ、時間の問題や実装にいたるスキルの問題など、脆弱性が残留することも往々にしてある。

さて、既に構築されてしまった場合、どう運営するのが良いのか。セキュリティの視点で見る、ということになる。

・まずはWebサーバの対策 OSやソフトのセキュリティホールはマメに埋めておく。メンテナンスのための認証はセキュアな方法を選ぶ。パスワードは充分な長さと複雑さを持たせる。不要なサービス・アカウントは削除する。公開目的以外のファイルをサーバに置かない。といったあたりが対策のポイント。
・DNSの設定の調査 DNSの設定情報を書き換えられると、気付かないうちに他のサイトに飛ばされることになる。
・ネットワーク盗聴対策 情報は暗号化が基本。特に、認証の際にもユーザー名・パスワードを平文で流すようなことはしない。メールでのパスワードなどはやり取りしない。個人情報の取得などにはSSLで保護した、フォームを活用する。
・パスワードの不備 初期に設定されるパスワードは、規則性を推定されないようにランダムなものを発行する。パスワード変更は現行パスワードの入力も行わせる。エラーメッセージによって第三者にヒントを与えない。
・フィッシング対策 自サイトがターゲットにされないために、電子証明書による実在性の証明。URLの表示。子フレームに外部のサイトを潜り込ませない。

ざっとあげても、かなりな数になる。意味とともに項目を「構造的に」理解して憶えておく必要があるのは、他の分野と同様である。テキストで間に合わないものは、ネット・入門書でもフォローは可能だ。
posted by tamaso at 23:52| Comment(0) | TrackBack(1) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2006年02月06日

開発環境のセキュリティ 〜 テクニカルエンジニア(情報セキュリティ)試験対策

今日は時間がなくて、勉強は「眺めた程度」だ。そういう日もある。

セキュアプログラミング、については、技法であるとか不正に対する対策であるとか、微視的な内容が先行していたりする。実際には、試験範囲にも書かれているように、セキュアな開発環境というテーマもある。このあたりになると、テキストもフォローし切れていないようで、ポイントを押さえるには他のテキストにあたる必要がある。

http://www.ipa.go.jp/security/awareness/vendor/process.html

非常に荒い内容ではあるが、「設計」「プログラミング」「テスト」「設定」の4段階について「留意点」のような形でまとめられている。技法ではないが、午後の試験ではこのような留意点を一応念頭に置いておくのも良いと思う。

本試験では、現場のシチュエーションを想定した問題が「与件」として与えられる。セキュリティ担当の技術者やマネージャが、どこに目を配るかは、試験の読みどころといえなくもない。
posted by tamaso at 23:05| Comment(0) | TrackBack(0) | 受験技術 | このブログの読者になる | 更新情報をチェックする

2006年02月05日

今日もVPN 〜 テクニカルエンジニア(情報セキュリティ)試験対策

VPNは、IPsecが良く知られているが、その下の層にあるPPTPを今日は憶えた。

VPNを通すということには、ホスト間やLAN間以外に、リモートアクセスの際にも使われる。特に、インターネットを経由してのリモートアクセスは、VPNは必須だ。当然だが、VPNであるから「カプセル化」「暗号化」「認証」などがセットで使われている。特に、ポイントになるのは、認証と鍵の生成だ。ネット上に鍵を通すと、盗聴のリスクが生じる。このプロトコルでは鍵の「種」を交換し、それぞれで生成して「共通鍵」とする。この種の交換には、公開鍵やハッシュ関数を利用する。これで認証も同時に行えるというわけだ。

VPNには、カプセル化という技術もあり、これも使い慣れていないとイメージがつかみにくい。感覚的に分かるまで、書いて憶え、また、読んで理解することを繰り返すしかない。だが、しっかり身についた知識は、強い。技術は発想と原理の積み重ねである。下からちゃんと知識を積み上げるのが基本だ。
posted by tamaso at 20:40| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

2006年02月04日

セキュアプロトコルをもう一度 〜 テクニカルエンジニア(情報セキュリティ)試験対策

先日の午前対策で分かった弱点のひとつ。プロトコルがイマイチ頭に入っていない。午後対策も兼ねて、今日はセキュリティ関連のプロトコルとVPNをセットで復習した。

VPNは、いくつかのプロトコルと技術の組み合わせだ。ポイントは三つある。「カプセル化」「暗号化」「認証」だ。それぞれにプロトコルがいくつか用意されているというわけだ。また、暗号化とともに、鍵の交換も必要だが、これにも複数の方法がある。

VPNには、ほかにもホスト同士の接続と、インターネット上の仮想的トンネルを経由した接続がある。このあたり、知識からスキルにするためには、もう少し身につくように問題に取り組むか、実例にあたる必要があるかもしれない。

いずれにしても、教科書的な知識ではまだ足りない、ということだろう。
posted by tamaso at 23:04| Comment(2) | TrackBack(1) | 学習実績 | このブログの読者になる | 更新情報をチェックする

広告


この広告は60日以上更新がないブログに表示がされております。

以下のいずれかの方法で非表示にすることが可能です。

・記事の投稿、編集をおこなう
・マイブログの【設定】 > 【広告設定】 より、「60日間更新が無い場合」 の 「広告を表示しない」にチェックを入れて保存する。


×

この広告は1年以上新しい記事の投稿がないブログに表示されております。