いただき！難関資格！ - IT系資格試験に挑戦するエンジニアの日誌

こんばんは。ぺーた です。

アメブロをフラフラしてたら、メンテナンスのお知らせがあったので、
私どもと同じ分野にてお仕事をしているアメブロの皆様に、
僭越ではありますが、今回も応援をさせていただきたく思います。

ほんとに。

今回のメンテナンス内容は、
いつもやっているデータベースのメンテナンスのほかに、
アクセス解析サーバの移設の作業というものがあるようです。
大変そうですね。

アメブロ - 12月9日のメンテナンスについて

あと、別のお知らせでは、ブログを編集するためのツールバーの
デザインがちょっぴり変わるってのもアナウンスされてますから、
これもメンテナンスとしてやるのでしょうね。

メンテナンスに関しては、相変わらず厳しい意見もあるようで、
ぺーただったら凹んでしまいそうな内容とかもありますけれど、
その一方で、とても温かな応援メッセージもたくさんあって、
非常に微笑ましかったりもします。

とにもかくにも後３時間少々でメンテナンスが始まります。
今頃担当者さん達はメンテナンスの準備でもしているのでしょうか、
はたまた決戦前の腹ごしらえでもしてるのでしょうか。

いずれにせよ、頑張ってほしいものです。

ぺーた。

こんばんは。ぺーた です。

まぁ、なんというか、時が過ぎるのは早いもので、
気がついたらもう１１月が終わりだっちゅーの。



だっちゅーの。




だっちゅーの。





はやいっちゅーの。





ふるいっちゅーの。




今月は、何かと色々、かくかくしかじかで、
全然勉強しなかったのだけれど。

でも、せめて１回くらいはやっとかなくちゃと、ござそうろう。



さて、今回から第３章という事で、「セキュリティポリシ」
っちゅーモンを、勉強していこうよというわけです。

セキュリティポリシ、、、インターネットをしていると、
ページの下側にちょこちょことこのキーワードが見え隠れするけれど、
実態はどんなものなんでしょうね。



○情報セキュリティポリシとは

企業のセキュリティへの取組み基準、罰則などをまとめた文書のこと。

・　セキュリティポリシが無い企業は個々のセキュリティへの意識にばらつきが出てきてしまう
・　意識にばらつきがあると、企業のセキュリティレベルはその中の低いものに沿ってしまう
→　これじゃあよろしくない！

○情報セキュリティポリシを作成する上で気をつけること

作成した文書が古くなり、効力を失ってしまう事（死文化）を防がなくてはならない。

→そのために「情報セキュリティマネジメントシステム」を活用して、
文書に有効期限を設けたり、定期的に見直しを行う決まりを定めよう！
→さらに、情報セキュリティマネジメントシステムには、認証基準がある。　（ISO/IEC 27001 , JIS Q 27001）
→認証を受けていると、企業のブランドイメージアップ！良いこと色々。

○情報セキュリティポリシの種類

大きく分けて３つの階層に分けられる。

（１）情報セキュリティ基本方針

・　経営層レベルが策定
・　「会社」としての取組みやビジョンを表す
・　おおまかな内容
・　５年程度のスパンで見直す

（２）情報セキュリティ対策基準

・　部署レベルで策定
・　情報セキュリティ基本方針をもう少し現実レベルに書き下したもの
・　具体的な記述が多くなる
・　３年程度のスパンで見直す

（３）情報セキュリティ対策実施手順

・　末端の担当者がセキュリティを維持するための手順書
・　セキュリティプロシジャとも呼ばれる
・　１年程度のスパンで見直す



なるほど、セキュリティポリシを定める意味が分かったような気がします。

それと、文書の死文化を防がなくてはいけないというのは、
セキュリティポリシに限ったことではないなぁと思いましたね。

たとえば、システムを作るときのドキュメントとか。

実際の「システム」と「ドキュメントの内容」が全然違ってしまっているというのは、
そのドキュメントが死文化してしまっている証拠だよね。

そうなってしまうと、ドキュメントがドキュメントの意味をなさなくて、
ただ、開発者を混乱させてしまう障害にしかならない。。。

ちゃんと文書（ドキュメント）を管理するのは重要なことなんだなと、改めて感じました。

ぺーた。

この記事は、ヒヨっこエンジニアぺーたが、IT系資格試験の

勉強中に気になった言葉や、訳が分からなかった言葉を

ちょいと整理するためにまとめている用語集です。

こちらに掲載している解説はあくまでもぺーたの認識でまとめていますので、

内容の確実性はちょっと保障できません。そちらをご理解のうえ、ご覧ください。

（※「これ、ぜんぜん違うよ」って言うご指摘は頂けると助かります。）

---

【あ】

○アメーバブログ（あめーばぶろぐ）

「いただき！難関資格！ 」、「エンジニア戦隊ブログマンズ 」で

使わせてもらっているブログサービス。通称アメブロ。

いつもお世話になっております。

○インシデント（いんしでんと）

問題が発生した場合の原因。脅威となる出来事。
もし、火遊びをしていて、火事が発生してしまったというならば、その火遊びがインシデント。
もし、某ファイル交換ソフトを使っていて、個人情報が漏洩してしまったというならば、
某ファイル交換ソフトを利用していたことがインシデントとなる。

---

【か】

○可用性（かようせい）

情報セキュリティを構成する要素の１つ。

「データを見たいときは、いつでも見れますよ」という事。

英語表記はAvailability。（アヴェイラビリティ）

○完全性（かんぜんせい）

情報セキュリティを構成する要素の１つ。

「このデータは改ざんなどはされておらず、正しいデータですよ」という事。

英語表記はIntegrity。（インテグリティ）

○機密性（きみつせい）

情報セキュリティを構成する要素の１つ。

「許可していない人にはデータを見せたり変更したりさせませんよ」と言うこと。

英語表記はConfidentiality。（コンフィデンシャリティ）

○脅威（きょうい）

情報資産を脅かす根本的な原因。リスクを発生させる要因の1つ。

紙媒体には火事や泥棒。コンピュータデータには不正アクセス。

豚には真珠。猫には小判。歩く姿はほうれん草。

---

【さ】

○サービス妨害（さーびすぼうがい）

サーバに対して負荷をかける事で、レスポンスを悪くしたり、
サービスを停止させる事を狙った攻撃方法。
DoS攻撃とも言われる。

→関連記事（第2章の7回目（サービス妨害） ）

○情報資産（じょうほうしさん）

企業が持つ価値有る情報。リスクを発生させる要因の1つ。

個人情報などがそれに該当する。媒体は問わない。

意外だが、会社のブランドイメージも情報資産。

○情報セキュリティ（じょほうせきゅりてぃ）

企業などが持つ情報資産の「機密性」、「完全性」、「可用性」を、

きちんと維持して行くための取組み。

○情報セキュリティアドミニストレータ（じょほうせきゅりてぃあどみにすとれーた）

企業などが持つ情報資産を守るために、様々な施策を提案実行するための担当者。

または、上記担当者のスキルを認定するために独立行政法人情報処理推進機構が

2008年度まで実施していた資格試験。

○脆弱性（ぜいじゃくせい）

情報資産を脅威から守るための砦に開いた穴。鍵の無い金庫。

リスクを発生させる要因の1つ。

冷蔵庫にプリンがあったらいつでも食べる事ができるんです。

○ソーシャルエンジニアリング（そーしゃるえんじにありんぐ）

試験によく出る。mixiの事ではないから勘違いするな。
基本情報の午前問題では、必ずといっていいほど出る。
たしかソフトウェア開発後術者試験でもよく出る。
覚えておいて間違いは無い。よく出る。かなり出る。
午後ではあんまり出ない。午前の中盤から後半にかけて出る。
右側のページの下側あたりにこの問題が書かれている。
よく出る。

→関連記事（第2章の8回目（その他の攻撃方法） ）

---

【た】

---

【な】

○なりすまし

攻撃者が正規のユーザのふりをして、不当に情報資産を利用する権限を得る行為。
「私、正規のユーザですが、なにか？」

→関連記事（第２章の6回目（なりすまし） ）

---

【は】

○鼻水（はなみず）

試験中に最も気をつけれなければならない事のひとつ。

流れ出る鼻水はもう誰にも止めることは出来ず、自分だけでなく、

同じ教室の全員の集中力を落とす恐れがある。ポケットティッシュは必須。

→関連記事（DHCP、稼働率、RAID、SQL、公開鍵暗号方式、鼻水 ）

○プロのトラブル対処法（ぷろのとらぶるたいしょほう）

「自分が大規模システム担当者だったらどうするか？」をテーマに、

色々考えてみたシリーズ記事。きっかけは、2008年5月ごろに起こった

東京三菱FUJ銀行のシステムトラブル。

→関連記事（プロのトラブル対処法シリーズ　１ 、２ 、３ ）

○ファシリティチェック（ふぁしりてぃちぇっく）

情報資産がある施設や部屋での入退出管理のこと。

関係ない人には、見せない、入れない、触らせない。

---

【ま】

○メンテナンス（めんてなんす）

ここではアメーバブログのメンテナンスの意。

アメーバブログの機能拡張や安定性の向上など図るため、定期的に行われる。

時にはメンテナンスの作業時間が予定よりかかってしまう事があり、

一部ユーザからは厳しい意見が挙がっているが、ぺーたは陰ながら応援している。

→関連記事（１ 、２ ）

---

【や】

---

【ら】

○リスク（りすく）

損害を蒙（こうむ）る危険性。

情報資産 + 脆弱性 + 脅威 の3つがあって始めてリスクが顕在化する。

---

【わ】

---

【英数】

○DNSキャッシュ汚染（でぃえぬえすきゃっしゅおせん）

DNSサーバのキャッシュに不正な情報を登録させ、偽サイトなどへ誘導させる。
URLは合っているのに偽サイトへ繋がるので、フィッシングサイトを本物と信じ込ませるのに有効。

○mEditor（むえでぃたー）

ぺーたが使っているフリーのテキストエディター。

アウトライン機能がとっても便利。あと、readmeが面白い。

→関連記事（テキストエディタ探し ）

○MyPointer（まいぽいんたー）

ぺーたが趣味で作ったネットサービス。

一日の自己採点を記入するだけ。ツイッターを少し意識している。

→関連リンク（MyPointer - http://xone-bits.ewinds.net/ ）

○OpenID（おーぷんあいでぃ）

最近ぺーたが注目しているユーザ認証技術。

1つのIDで様々なサイトにログインできる仕組み。

仕様書や.NET用のライブラリが英語のため、苦労している。

こんばんは。ぺーた です。

よく分からないですけど、最近ハロウィンっぽいですね。
某ハンバーグ屋さんに行ったら、お店中がそんな雰囲気に。

ふと思ったのだけれど、ハロウィンってそんな昔からあったっけか？
ぺーたが学生の頃はあまり「ハロウィンのシーズンです」的なイベントは
やってなかったような気がするんだよなぁ。（記憶に無いだけかな？）

まぁそれは、ちょっとぶらぶらでもして、調べてみよう。

ハロウィンが終わったら、あっという間にクリスマスか。




クリスマスか。




クリスマス。




クリスマス。




クリスマス。



クリスマス。




早く正月になっちまえ。サンタさんのばかやろう（泣）






はい。サンタさんは何も悪くありませんね。勉強をはじめます。
今回は第２章の確認テストという事でやっていきたいと思います。

では、よーい、どん。


（１０分後）


ただいま完了しました。
採点の結果は全問正解（９問）！ヤッタネ★

それでは問題の中で気になったものに関して、
ちょっと復習していきます。


> （問題１）
>
> リスクの発生要素の組み合わせとして、適切なものはどれか。
>
> ア　：　クラッカー、セキュリティホール、OS
> イ　：　脅威、機密性、完全性
> ウ　：　真正性、可用性、脆弱性
> エ　：　脆弱性、情報資産、脅威

（引用元：技術評論社　平成20年度情報セキュリティアドミニストレータ合格教本）

ぺーたの答え　：　エ
解答　：　エ

これは決して間違えてはいけない問題ですね（＾＾；）
ただ、選択肢の中に「可用性、機密性、完全性」なんてあったら、
うっかりミスして答えちゃうかもしれないから、注意しとこう。

> （問題３）
>
> リスク保有の記述として、適切なものはどれか。
>
> ア　：　自社ビルの火災に備えて火災保険に加入する。
> イ　：　電源を二重化して停電に備える。
> ウ　：　人件費が高額なため、警備員をリストラした。
> エ　：　過失や機器故障によるデータ破壊に備えるため、バックアップを取得する。

（引用元：技術評論社　平成20年度情報セキュリティアドミニストレータ合格教本）

ぺーたの答え　：　ウ
解答　：　ウ

リスクを保有するって事は、あえて対策をしないという事が対策になるんだよね。
ということで、消去法で選んでいった結果「ウ」が一番適切でしょうね。
リスクで発生するコストと人件費を比較してみた結果、
あえてリスクを保有したほうがコストが抑えられるとの判断をしたんですかね。
（リストラされた警備員は元気に暮らしているそうです。）

> （問題９）
>
> ユーザgihyoのパスワードとして適切であると思われるものを選べ。
>
> ア　： february
> イ　： giyho123GIHYO!
> ウ　： 8#URtV19_w98TXd
> エ　： aB9_

（引用元：技術評論社　平成20年度情報セキュリティアドミニストレータ合格教本）

ぺーたの答え　：　ウ
解答　：　ウ

随分とまぁ、えらそうな問題文ですなぁ。「選べ。」ですか。
はいはい、選びますよぉーっと。一番安全そうなのは「ウ」ですね。
「ア」は、意味がある言葉だから比較的推測されやすいとの事。
「イ」は、ユーザ名がパスワードに含まれている。これも比較的推測されやすい。
「エ」は、短すぎる。
（それにしても、ぎひょーってなんだろ。）

# たしかし「ウ」のパスワードが一番複雑で安全そうなんだけれど、
# こんな複雑なの覚えられないよなぁって思います。
# だからと言って紙にメモって置くのもこれまた危険だし。
# なんだかなぁ～。



とまぁ、こんなところでしょうか。
次回からは第３章の勉強に入って行こうと思います。

しかし、凄く寒いですねぇ。
お風呂上りに書いていたのですが、すっかり足が冷えてしまいました。
湯冷めだ、湯冷め（；_；）早くあったかお布団にはいろー♪

ぺーた。

こんばんは。ぺーた （ ´ ｀ ） です。

最近ぺーたはOpenIDっちゅーもんに注目しています。
OpenIDというのは、要するに、様々な会員制サイトに、
1つのIDで入ることができるという仕組みです。

（複数の会員制サイトを利用する場合に、
各サイト毎のユーザIDやらパスワードを登録・管理しなければならないって、
結構めんどくさいものですよね。）

mixiやyahoo、livedoorがOpenIDの仕組みを導入したので、
近く、そういうのが当たり前の時代になるのかな～と思い、
勉強がてら認証プログラムいじってます。

ぺーたが感じる所としては、ぺーたレベルの人間が簡単に
理解できるだけの情報はまだ少ないなと思います。

詳しい仕組みについては色々な日本語のサイトで解説されているものの、
OpenIDの仕様は英語だし（訳もあるけど分かりづらい；；）、
やっとこさ見つけたasp.netで使えるOpenIDのライブラリもぜーんぶ英語。
ライブラリに関する日本語解説はありませしぇん。

ITエンジニアなら英語くらい理解しておけといわれてしまえば、
それまでなんだろうけど、分からんもんは分からんですよ。
（エキサイト翻訳さん、いつもお世話になっております。）

それでもまぁ苦労しながら少しずつライブラリの使い方を勉強しています。
英語の解説を見ても、引数や戻り値の意味が全然分からないもんだから、
公開されているソースの中身を確認しながら処理の流れを追っています。

と、やってることは、こんな感じです。

新しい技術を学ぶということは、非常に苦労するけれど、
それをほんのちょこっと理解するだけでも楽しさを感じることができるということが、
今回のOpenIDへの挑戦で分かりました。

参考までに、色々探してまわった中の価値がありそうなサイトを載せときます。

【概要など】

・今すぐ使えるOpenID
（http://gihyo.jp/dev/feature/01/openid/0001 ）

・FFTT - OpenID認証2.0～概論
（http://tech.feedforce.jp/openid_auth_20.html ）

【OpenIDを利用した認証サービス】

・mixi - OpemID
（http://mixi.jp/openid.pl ）

【仕様】

・OpenID Authentication 2.0 - Final
（http://openid.net/specs/openid-authentication-2_0.html ）

・OpenID Authentication 2.0 - Final（日本語仮訳付き）
（http://lab.koshigoe.jp/en2ja/openid-authentication-2_0.html ）

【ライブラリ】

・各言語のライブラリ一覧
（http://wiki.openid.net/Libraries ）

・ExtremeSwank OpenID 4.0.0.1　と ExtremeSwank OpenIDControl User Control 4.0.0.1
（http://extremeswank.com/aspnet_openid.html ）

# DotNetOpenIDも最初は使ってみたけれど、難しかったので断念。

ぺーた。

追伸：
　次回は試験勉強します。