支援士に なりたいかー
地方都市在住の元SE、2児の母です。
今回の実施が最後だった情報セキュリティスペシャリスト試験の後身、
情報処理安全支援士情報処理安全確保支援士
の制度詳細が、10/21に明らかになるようです。
おそらく、セスペを受けた人の過半数が正式名称を覚えていなかったであろう「情報処理安全支援士情報処理安全確保支援士」。
聞いたところで「なぜその名前…?」と一瞬引いてしまう「情報処理安全支援士情報処理安全確保支援士」。
めでたくセスペを受かったあかつきには、支援士試験を受けなくても「支援士」として登録することができるのですが、さて、なりたいですか?支援士。
登録手数料は17,000円。
登録後は、年1回のオンライン講習を受講し、また3年に1回は集合研修を受講しなくてはならない。
集合研修は1日(6時間)で、全国主要都市で年に2回開催される。集合研修は受講料が必要な見込みで、受講者負担。
ざっと見て、3年で17,000円+αの維持費がかかる資格になりそう。
なりたいですか?支援士。
わたしは、今回のセスペに合格できたなら、登録しようと思っています。
自腹で維持費がかかったとしても。
支援士は、登録情報をWEB等で公開することができます(非公開にすることもできます)。そこでは、所属会社名を出すこともできます。それは会社にとってブランディングになります。というかわたしは今、それがブランディングになる程度の規模の会社に所属しています。現時点で、他にセスペ保有者はいなさそうです。会社は、わたしという駒を置いておくことで、「支援士の有資格者がいる会社」であることができます。ひいては、わたし自身のブランディングにもなります。
開発最前線を退いた、時短勤務で子育て中の元SEという不安定な身分としては、社内で自分の立場を守るためのカードを1枚でも多く持っておきたいものです。
それには、この支援士という国家資格は、非常に「使える」と思うのです。
だから、情報処理安全支援士情報処理安全確保支援士になろうと。
わたしの住んでいるのは「全国主要都市」ではないので、おそらく、県外へ受講しに行くことになるでしょうね。それだけが面倒です。
いやまてまだ受かってないって。
※10/21、情報処理安全支援士情報処理安全確保支援士の修正をしました
【レビュー】情報セキュリティスペシャリスト試験・平成28年秋
地方都市在住の元SE、2児の母です。
2016/10/16(日)に実施されたIPA情報処理技術者試験の、情報セキュリティスペシャリスト試験を受けてきました。午前1は免除だったので、午前2からの受験でした。
【午前2】
巷でよく言われる通り、過去問3回分やってれば合格できる問題構成でした。巻末の「メモ用紙」が2ページ(見開き)なのも通常営業。
変わり種としては、問3でPOODLE(CVE-2014-3566)の説明が問われたり、XMLディジタル署名の特徴として「デタッチ署名」という単語が初登場したり(H25秋の過去問では「任意のエレメントに対して署名することができる」だった)、程度でしょうか。
解答が公開されているので自己採点したところ、25問中20問正解。ここまではまぁ順当です。
【午後1】
問1:組込み機器を利用したシステムのセキュリティ対策
機械の制御用コンピュータが、クラウド上の監視サーバ(機械のメーカーが構築)に稼働ステータスをポストするよ
問2:ソフトウェア開発における脆弱性対策
ヒープベースバッファオーバーフローの脆弱性をなんとかするよ
問3:プロキシサーバによるマルウェア対策
古いプロキシ1を、機能が豊富なプロキシ2にリプレイスするよ
IPAが発行する「情報セキュリティ白書2016」でも取り上げられているIoT、必ず出題されるだろうと思っていましたが、やはりありました。糖尿病患者のインシュリン投与もWiFi経由でコントロールされるご時世ですから。
開発系では脆弱性、ネットワーク系ではプロキシ、そして組込み系、という安定の問題構成でした。
【午後2】
問1:ICカードを用いた認証システム
業務用システムのログインIDやPWを付箋で貼ったり共有してる輩がいるから、PCでICカード認証する方式にNさんよろしく
問2:脆弱性対策
DMZにサーバがたくさんあるんだけど脆弱性情報が出た時の対応フローがないから、Q主任ガンバレ
運用面の話かな、と思って読み始めても技術問題入ってるのが午後問題。ICカードもそんな感じで。
脆弱性問題ではCVSSが必ず登場しているので、スコア10とか「重要」判定された脆弱性情報はチェックしておくと良さそう。
セスペは次回の試験から「情報処理安全確保支援士」に移行することが決定していて、最後だからと受験した人も多かったようです。「支援士試験」になった後も、問題構成や難易度は大きく変わらないかもしれません。
一方、情報セキュリティマネジメント試験が開始されたことで、「国家資格までは要らない」という層をふるい落とし、技術要素を増やして専門性を高めていくかもしれません。しかし、セキュリティインシデントに先手を打ち、発生時にハンドリングができるように、となると管理策についての問題も欠かせません。さらに、現実に報告されている重大なインシデントや脆弱性を例にとった出題というのも、外せないジャンルです。
つまり、それは、今の試験内容じゃないかな、と思うのです。
過去問を解いているだけで、ネットワーク構成やよくある問題点、いわゆる「正解」とされるセキュリティ対策例と失敗あるある、なんかを垣間見ることができるセスペ試験。
午後問題はさっぱり自信がありませんが、今夜はビール片手に開放感に浸りたいと思います。
問題、解答はIPAのサイトでご確認ください。
IPA 独立行政法人 情報処理推進機構:問題冊子・配点割合・解答例・採点講評(2016、平成28年)
----------
【2017.4追記】まだ訪問いただいているようなので、実際に使った問題集の最新版を貼っておきます。
勉強法は こちら 。
  |
  |
  |
| 問題集 | ポケットスタディ | テキスト |
断捨離ブームはセキュリティ向上の追い風
地方都市在住の元SE、2児の母です。
世は断捨離ブーム。
ミニマリストや収納アドバイザー、ライフスタイルアドバイザーなど、様々な肩書きが跋扈し、100円ショップやIKEA、ニトリ、無印が人気を博しています。
かく言うわたしも、3年ほど前に断捨離についての本を読み、かなり共感し、実践としてまずその本を売って処分しました。本の著者やタイトルも脳内から断捨離して消えました。
一方で、
PCのHDDやSSD、外部記憶装置、クラウドストレージ等の容量あたりの単価はどんどん下がり、デジタルならいくらでもためておけるご時世です。
そこに現れたカスペルスキーの2017年版セキュリティソフトは、断捨離も手伝ってくれるとか。
実は、断捨離やミニマリストの考え方と、セキュリティの考え方は同じです。
・権限は最小限にとどめる
・利用しないサービスは切る
・未管理のものは、未管理であること自体がリスク
社内のセキュリティ意識向上をめざすには、これは追い風かもしれないです。リテラシ低めの層にも、断捨離を例にとればわかりやすかもしれない。その説明は実は面倒くさいけれど。
ノートン先生が聴診器で HDD をチェックチェックしてくれていた時代が懐かしい。。。
ちゃんと知り 正しく怖がろう マイナンバー
地方都市在住の元SE、2児の母です。
2015年10月の生誕からもうすぐ1年を迎えるマイナンバー。
どう扱っていいのか、何に使えばいいのか、分からない事だらけで完全に不安が先行した状態でのサービス開始となったけど、今でも分かっていない人は多いのでしょう。
情報セキュリティ同様、正しく知って正しく怖がるのがいいのですが、万人に求めるのはわりと難しい。自分も関連する仕事してるから総務省やらマイナンバーやらのサイト読み込んで勉強したけど、そうでなければなかなか。。。
それでも仕事でマイナンバーを扱わなければならない中小企業向けに、なんだかすばらしい商品が出ました。
発売元は、コクヨ。
これがまた痒いところに手が届く仕様。
IT化されていない現場や、ITなんてよくわからない人事・労務担当者しかいない現場では、こういう管理パッケージは、もう、神なんじゃないかと。
紙だけに?
Pマーク取得企業の更新審査なんかでも超役立ちそうですね。
何でもかんでもIT化するだけがソリューションじゃない。
自分の中でコクヨの株がまたひとつあがったニュースでした。
