よし。
もうしばらくは乃木坂の話はしない。
今まで,つきあってくれてありがとう。
これらからは「IT」の話をしよう。
まずは,情報処理安全確保支援士制度について…
IPAからこの秋の情報処理技術者試験と情報処理安全確保支援士試験の受験者数が公表された。23,425人
今年の春の初回試験が25,130人の応募者で,昨年秋の最後のセキュリティスペシャリスト試験が32,492人なので…
前回対比 93.2%(1,705人減)
前年対比 72.1%(9,067人減)
まだ2万人いるからいい方なんだけど。
そもそも中途半端なんだよな。
諸悪の根源は,セキュアプログラミングを知らなくても合格できてしまうこと。僕自身,今の試験体系なら…講座でも書籍でもセキュアプログラミングに時間もページも割かないからな。プログラム言語の基礎から書かないといけないとしたら莫大な量になるし,合格率下がるし。
脆弱性を見つけて攻撃手法を思いつくレベル(攻撃者のレベル)には,そんなに大量のエンジニアが行きつく必要はない。けれど,既知の攻撃に関して,“ソースレベルでの脆弱性”をイメージできるところぐらいまでは,“技術者”だったら必要だと思う。
昔のように開発環境に金かかるならいざ知らず,今のOSS環境なんか無償で利用できるわけだから(攻撃者側はそうしているわけだし),もっともっと根っこの部分を知らないと合格しないようにしたほうがいい。
今回の敬遠(簡単すぎる,スキルアップにならない等…予想だけど)で応募者が減るってことは,ハイスペックの人材にそっぽ向かれてるわけなので,日本のセキュリティ技術があがるわけない。
もっと難易度を高めて,具体的にはセキュアプログラミングも必須にして…診断士1次試験のように,全科目60点以上(40点は低すぎるので),平均80点以上で合格とかすれば,ハイスペックな応募者が増える。腕試しに。
1.セキュアプログラミング
2.サーバOS
3.ネットワークセキュリティ
4.ソーシャルエンジニアリング
5.マネジメント
6.セキュリティ白書
でいいんじゃね?
今回,情報処理安全確保支援士試験の講師をしようと考えた時,俺よりもセキュリティ分野でスキルの高い人たちにも声をかけた。けど,やっぱみんな今の制度に魅力が無いし,得るものも無く,アウトプットするだけならNGだった。もちろんその通りだった(ただ,個人的に僕には協力してくれる,バックアップしてくれると返答はもらえたので,そこは本当にありがたかったし嬉しかった)。
で,国の制度に頼っていては,自分のスキルアップにもならず…攻撃者(スクリプトキディを除く)との技術力の差は開く一方なので…もう待ったなし。
で,セキュアプログラミングのスキルアップの本も出します。
無償,もしくは電子出版で安価で発売しますね。今,体系化をどうするのかを考え中。
これこれ。
あ,乃木坂の話は11日の世界制服第2回目に再開します(笑)。