にしし ふぁくとりー(西村文宏 個人サイト)

Presented by Nishishi via Movable Type. Last Updated: 2015/09/22. 13:23:48.

テクニカルエンジニア(情報セキュリティ)受けてきました

テクニカルエンジニア(情報セキュリティ)試験冊子国家試験(情報処理技術者試験)を受験してきました。科目は「テクニカルエンジニア(情報セキュリティ)」です。新設されたばっかりの第1回目試験。
この試験は、「情報セキュリティアドミニストレータ」と違って、エンドユーザではなくディベロッパー側からの情報セキュリティに関する資格試験。
なかなかおもしろい試験でした。

驚いたのが、プログラミング言語として、Perlが登場してたこと!
試験冊子の末尾には、Perlの用例が載ってました。それを読んだからといって、Perlでプログラムを書いたことのない人がPerlについて理解できるワケないので、「情報セキュリティを考慮して開発する立場の人間は、Perlくらい知ってて当然」ということなのでしょうかね。^^;

試験は他の情報処理技術者試験と同様に3つ。

  • 午前(100分):マーク
  • 午後1(90分):記述
  • 午後2(120分):論述

情報処理技術者試験 座席票で、「午後2」(事例解析)の試験は、2問中1問選択で120分の試験。
これがなかなかおもしろい試験でした。

設問には、簡単に言うと、

このシステムの脆弱性を突いて、本来読めないはずのファイルを読むにはどうすればいいか?

…という、いわゆるハッキングの方法を記述させる問題がありました。(笑)
もちろん、

その脆弱性をなくすために加えるべき処理はどんなものか?

…という、解決策を記述させる問題が続くのですが。^^;

この問題、Perlを知らないと解けないかも知れません。
Perlで書かれたCGIのソースが載ってて、それを読んで、「このシステムの脆弱性」について考えないといけないわけで。

問題文にも、「Perlの文字列の処理方法を十分に調査して」とか書かれてます。
やっぱり、情報セキュリティを考慮して何か開発する人間は、Perlくらい知っておけ!ということなんですかね。(笑)

なかなか解き応えのある問題でした。
難しかったけど。

まあ、合格してる可能性は低いと思いますが、でも全く勉強しなかったわりには、そこそこ書けたと思います。たぶん大きなネックは、比較的広い範囲から基礎力を問う午前の試験ですね…。(笑)

とりあえず、Perlが当たり前のように登場してたのが、なかなか衝撃でした。^^;

ちなみに、「午後2」は2問中1問選択なので、私が選択しなかった方は、Perlではなくデータベースの話っぽかったです。というわけで、Perlを知らない場合はそっちを選択することになるでしょうね。だから、Perlを知らなければ合格できない、というわけではありません。

コメント

> 、「情報セキュリティを考慮して開発する立場の人間は、Perlくらい知ってて当然」ということなのでしょうかね。^^;

いえ、違います。セキュリティ強化のためにはPerlなど使わない方が良いのです。セキュリティホールの原因が明確に指摘しやすい言語の例としてPerlを挙げているということでしょう。

投稿者 情報セキュリティ : 2006年11月02日 17:31

コメント数: 1件

コメント投稿欄 この日記に対するコメント投稿を歓迎します。

保存しますか?



※本文中にURLは書けません。(書くと投稿が拒否されますのでご注意下さい。)

※投稿内容は、実際にページ上に掲載される前に、管理者によって確認される設定にしている場合があります。その場合は、投稿後にその旨が表示されます。たいてい1~2日以内には表示されるはずですので、気長にお待ち願います。m(_ _)m

トラックバック

このエントリーへのトラックバックURLを表示するにはここをクリック
※スパム防止のため、トラックバックURLは別ウインドウで表示します。(JavaScriptが有効でないと表示されません。)

--- 当サイト内を検索 ---