2006年1月 5日

2006年1月5日 テクニカルエンジニア情報セキュリティ試験概要の予測

テクニカルエンジニア(情報セキュリティ)試験について

 情報処理技術者試験に2006年4月試験より、テクニカルエンジニア(情報セキュリティ)試験 (以下SV試験)が追加されました。このSV試験について公式発表をベースに出題予測をしたいと思います。

セキュアプログラミングが出題される
出題されるプログラミング言語

 SV試験ではセキュアプログラミングが出題範囲となっています。 このセキュアプログラミングでは次の言語のいずれか1つが出題範囲となっています。 この出題範囲の違いが、従来のネットワーク試験との差異になっているものと思われます。

  • C++ :JISX3014
  • Java:TRX0005
  • Perl:プログラム言語Perlの用例・解説
セキュアプログラミングが出題の狙い

 SV試験のセキュアプログラミングは、プログラム作成能力よりも、 プログラムソースコードの脆弱性の発見・指摘・改善が重視されます。 私の予想では、午後Iの4問の中で1問必須問題として出題され、午後IIでは2問中1問出題される のではないかと考えています。

出所: よくある質問

ネットワークの問題は出題されないのか

 では、ネットワーク試験は出題されないのか、という問題ですが、おそらく出題される と思われます。理由は、IPAの 新試験区分『テクニカルエンジニア(情報セキュリティ)試験』創設 のなかに サンプル問題として、しっかり、ネットワーク系の セキュリティ問題が残されているからです。

関係者の談話から引用する

 IPAセンター長の澁谷隆氏の談話を詳細に読み込んでゆくと次のようなことが わかります。

想定している受験者
  • 1.適切なセキュリティ機能の提供する情報システムを開発する人
  • 2.セキュリティ機能を組み込んだ業務アプリケーションを開発する人

 おそらく「1」は、個人やホストの認証システムの開発やDBMSなどのセキュリティ機能 を開発する人を想定しているのでしょう。「2」は業務アプリケーションを開発するときに 例えばデータベース開発の場合、grant文などを使いユーザアクセス権を確立しますが、 このようなセキュリティ設計ができる人を想定していると思われます。

データベースは本当に出題されるか

 この問題を考えるために、 @IT 自分戦略研究所( 出題範囲(平成17年10月版)を閲覧します。ここで、情報セキュリティ アドミニストレータ(SS試験)の出題範囲にデータベースがないのに対して、 SV試験にはデータベースがある点に注目です。したがって、午前試験には 必ずデータベースは出題され、午後Iにも出題される可能性が高いと思われます。 逆に監査と情報化と経営は出題されない点も重要です。

SV試験で重視される能力

 IPAセンター長の澁谷隆氏の談話から、試験内容では次の点が重視されていることが わかります。

  • 1.セキュリティPDCAサイクルの中で技術検討を行い、実装する開発者を対象としている
  • 2.技術的により踏み込んだ出題を行う
  • 3.開発に必要な知識にセキュリティを盛り込むことにより、開発設計段階からセキュリティ機能を 取り入れる能力

出所:セキュリティ産業新聞2005年12月10日




投稿者 kato : 21:46