[SV勉強日記] 結果と振り返り

受験番号 SVXXX - XXXX の方は，不合格です。
午前試験のスコアは，670 点です。
午後I試験のスコアは，720 点です。
午後II試験のスコアは，425 点です。

・合格基準は，午前，午後I，午後II試験のいずれも600点です。
・スコアの範囲は，最低200点〜最高800点です。

ということで、残念ながら不合格でした。


ただ、午後Iまでパスしてたのは嬉しかったです。

敗因の午後II。二つの問題から一つ選択して答えるものだったの
ですが、両方とも苦手なものが含まれていて、かなり選択に
迷いました。
片方が苦手なアクセス権限、もう片方も苦手なIPsecが含まれていました。
結局IPsecが含まれているほうを選択したんですけどね。



今回の合格率は12.2%。
前回の6.8%と比べると大分あがりましたね。
受験者数が減って、合格者数は増えたという状態です。



そもそも受験票を紛失するような人(私)にはセキュリティ業務
は務まらんってことでしょうかね。


それなりに頑張ったし、まぁいいか。


来年の秋から験の制度がガラっと変わるかもしれないんで様子見かな。


SV勉強日記　おわり

[SV勉強日記] 明日合否発表

4月に受験した、テクニカルエンジニア（情報セキュリティ）の
合格発表が明日(6/11)にせまりました。

午前だけでも受かってるといいなぁ。

[SV勉強日記] 終了

少し時間があいてしまいました。

受験票紛失事件があったものの無事に4/15に
テクニカルエンジニア（情報セキュリティ）を
受験できました。

自信の程は、、「午前が受かってればうれしいな」
といって具合です。

正直、iTECの模試で成績が良かったので浮かれてました。

結果が分かるのは6月です。

さてさてどうなることやら。。。

[SV勉強日記] 受験票紛失

受験票を紛失していたことに３日くらい前に気づきました。
しばらく探すことで精一杯で勉強に手がつきませんでした。

再発行できたとしても、もう間に合わないかなと思った
のですが一応情報処理技術者試験センターに電話したら
大丈夫そうでした。

「郵送はもう間に合わないので、代引きの宅配か、取りに来るか」
といわれたので宅配にしてもらいました。
今日の午後届く予定です。ぎりぎりです。。

勉強の追い込み時期に、このような状態で仕事の方でもドタバタ
していたため、ちょっと不安です。

いっそのこと再発行できなかった方がよかったような？

[SV勉強日記] 残り一週間

2007年春期の情報処理技術者試験の実施日、4/15まで
残り一週間になりました。

一応、午後の予想問題集も読み終え(≠解き終え)ました。
あとは先日帰ってきたアイテック模試の結果で間違えた問題の
見直しや、全体的な弱点補強に入りたいと思います。

えっと、まずは苦手分野の洗い出しかな。。

一通り勉強して一番難しいと感じたのはIPsecですね。
鍵交換の仕組みがとても複雑です。
午後でIPsecのことが含まれる問題がでてきたら
その問題は選択しなうようにしようかな、と考えるほどです。
SSL-VPNのほうは是非とも押させていきたいです。


しばらく客先常駐で仕事をしていたのですが、明日から
自社での仕事となります。朝起きなくてはいけない時間が
1時間遅くてもよくなるのですが、あえて起きる時間は変えずに
1時間早く会社に行って始業時間まで勉強しようかと思います。

[SV勉強日記] 模試結果

先日iTecの全国統一模試のテクニカルエンジニア（情報セキュリティ）
を受けました。今日はその採点された結果が届きました。

成績が悪かったのは
　・ネットワークのセキュリティ（午後�T）
　・標準化
でした。

午後�Tが悪かったのはまずいですね。。
標準化は規格が一杯あって覚えられていません。
自分用まとめみたいなのをつくって覚えようかと思います。


総合評価はA（A〜E）で一応合格ラインなのですが、全く気が抜けません。
現在は午後の練習問題をやっているのですが、結構ボロボロです。
解答をみると納得はできるのですが。

受験日の4/15までもう半月くらいしかないですね。
苦手なところはきちんと向き合って克服したいと思います。

IC免許証の暗証番号

私の住んでいるところでは今年になって
IC免許証というのが導入されました。

私もちょうど更新の時期だったのでIC免許証になりました。
従来より少し分厚くなり、本籍が空欄に、そして手数料は
450円高いです。

発行するときには数字４桁の暗証番号を２組
設定する必要があります。
かなり忘れそうでおっかないです。

この暗証番号について気になった点が２点あります。

　・次回の免許証交付時まで変更できない
　　→ 変更したいときもあるでしょう…

　・設定後、控えの紙が渡される
　　→ 保管に困る
　　→ 感熱紙なので（少なくとも私のところでは）しょぼい。

ちょっとやっかいですね。


・ICカード免許証　：警視庁
http://www.keishicho.metro.tokyo.jp/menkyo/menkyo/ic/ic.htm

予想問題集開始

テクニカルエンジニア（情報セキュリティ）対策です。

午後対策本を読み終えたので（ほんとに読んだだけ。。）
予想問題集にとりかかりはじめました。

by Seesaaショッピング

2007 テクニカルエンジニア情報セキュリテ..

￥

事前IT知識というところでかなりつまずいています。
ネットワークの問題になると急に落ち着きます。

お恥ずかしい話ですが私、基本情報処理技術者試験を
２回受験して２回おっこちています。
開発系の話はわかるのですが、メモリとかCPUとか
そのあたりの話に弱いんです。
実務でそういう話がわからなくて困ったことはあまり
ないのですが…。

「リスクベース認証」とは？ -みずほダイレクトが導入する新認証方式-

2008年の春頃とのことですが、みずほ銀行のインターネットバンキング
サービス「みずほダイレクト」で「リスクベース認証」と
「ワンタイムパスワード」を導入するそうです。
リスクベース認証というのがあまり聞きなれないので、
ニュースリリースの図をみてみました。

・「みずほダイレクト」の新たなセキュリティ強化策について
　−「リスクベース認証」と「ワンタイムパスワード」の導入−(PDF/146KB)
・http://www.mizuhobank.co.jp/company/release/2007..


・「リスクベース認証」とは？ - ZDNet Japan
http://japan.zdnet.com/video/whiteboard/..

「リスクベース認証」は、アクセスログなどからユーザーの行動パターンを分析し、本人確認の確度を高めるものとして注目を浴びている技術だ。

いろいろあるのですね。


みずほダイレクトでのリスクベース認証はログイン時に
実施するもののようですね。
一方のワンタイムパスワードのほうは振込み時に実施。


各金融機関も日々セキュリティ対策を進めているようですね。
すでにワンタイムパスワードによるログイン認証をしている
金融機関もあります。
機会があったらエントリにしたいです。

テクニカルエンジニア（情報セキュリティ）を受験します

平成19年春期の情報処理技術者試験「テクニカルエンジニア（情報セキュリティ）」（略称SV）
を受験します。

春季に行われている「情報セキュリティアドミニストレーター」
が運用メインであるのに対してSVは設計から構築がメインの
感じです。

受験日が2007/4/15(日)ですから2ヶ月を切ってるところです。
1月初めに受験を決め、少しずつ勉強をしています。
今午後対策をしていて、そのあと予想問題集でも
やろうかと思っています。

午後の問題のセキュアプログラミングはJava、Perl、C++
のいずれからしいのですが、平成18年春期(第1回)は
Perlでした。今年はなんでしょうね。C++が一番馴染みが
ないです。


ということで、しばらくこのブログはセキュリティネタが
多くなるかもしれません。

↓購入済みの本

by Seesaaショッピング

2007 テクニカルエンジニア情報セキュリテ..

￥

by Seesaaショッピング

平成19年度 テクニカルエンジニア 情報セキ..

￥

次点詐欺

・サイボウズ青野の３日ボウズ日記: 次点詐欺にご注意！
http://blog.cybozu.co.jp/aono/2007/01/post_37bd.html

ネットオークションで、惜しくも落札できなかった人に対し、出品者（のフリをした人）が、「落札者ではなく、あなたに売りたいから振り込んで」とメールを出してくるのだそうです。

知りませんでしたねぇ。
ちなみに私自身はインターネットを11年ほどやっていますが、
ネットオークションはしたことありません。

「ルートキットバスター」が無償でリリース

・トレンドマイクロが「ルートキットバスター」無償公開、Storm Wormを検出
http://internet.watch.impress.co.jp/cda/..

rootkitを検出・削除できる「ルートキットバスター」を22日に無償公開した。ルートキットバスターは、TROJ_SMALL.EDWが含む rootkitコンポーネントのほか、これまでトレンドマイクロが確認してきたrootkitコンポーネントを検出・削除できる。Windows XP/2000に対応する。

Windowsにもこの手のツールがあるのですね、知りませんでした。



ちなみにLinuxではchkrootkitが有名ですね。

IPAセキュリティ実装講座 の講演資料

・H18年度ウェブアプリケーション開発者向けセキュリティ実装講座の開催について
http://www.ipa.go.jp/security/vuln/event/200612.html

「失敗事例から学ぶウェブアプリケーション開発のヒント」
など５つほど講演資料がアップロードされています。

「安全なウェブサイトの作り方」IPA資料

IPAのサイトに「安全なウェブサイトの作り方」という資料がありました。

うまくまとめられています。

Web開発者としてはこのレベルは知っておくべきでしょう。

また、「セキュリティセキュリティっていうけど何からすればいいのか分からない」
という方が最初に読む資料としても良いと思います。


目次を載せておきます。

1. はじめに
1.1 はじめに
1.2 本資料の内容
1.3 問題の解決、対策について
2. ウェブアプリケーションのセキュリティ実装
2.1 SQL インジェクション
2.2 OS コマンド・インジェクション
2.3 クロスサイト・スクリプティング
2.4 セッション管理の不備
2.5 パス名パラメータの未チェック／ディレクトリ・トラバーサル
2.6 メールの第三者中継
3. ウェブサイトの安全性向上のための取り組み
3.1 ウェブサーバのセキュリティ対策
3.2 DNS 情報の設定不備
3.3 ネットワーク盗聴への対策
3.4 パスワードの不備
3.5 フィッシング詐欺を助長しないための対策
4. おわりに

とあるカード決済システムで驚いたこと

先日、クレジットカードで買い物をした際に店員から渡された
控えの伝票を見て驚きました。

カード番号と有効期限がまるまる記載されていたのです。

こういうケースもあるのですね。
たいていの場合、マスクされてると思ったのですが。
受け取った伝票はきちんと見たほうが良いですね。
私はカード番号と有効期限の箇所をライターで炙って黒くしました。
（感熱紙だったので）

リンクは張りませんが、人力検索はてなでも同じような疑問
を思った方がいました。

すべてのCGIスクリプトに-Tフラグを

・[を] Perl の -T スイッチ
http://nais.to/~yto/clog/tb/tb.cgi/200605273

デーモン、サーバ、および他人のために実行されるすべてのプログラム
（例えばCGIスクリプト）には、-Tスイッチを指定すべきである。
[...]
すべてのCGIスクリプトに-Tフラグを指定して実行するということは、単
に良い考えであるだけではない――それは、荒野のごときインターネット
で生き延びるための掟なのである。

cgiファイルの1行目に
#!/usr/bin/perl -T
とかかいておくと、スクリプト内でパラメータ受け取る箇所で
ちょっとあぶなっかしいところを警告してくれるそうです。

これがセカンドオーダーSQLインジェクション？？

私の以前のエントリーでも少し取り上げた「セカンドオーダーSQLインジェクション」。
私は参考リンクの紹介程度で終わらせてしまいましたが、高木浩光さんが突っ込んだ解説をなさっている記事を見つけました。
■ 「セカンドオーダーSQLインジェクション」ですって？
http://takagi-hiromitsu.jp/diary/20051231.html#p05

どうやらあの特集でいっているセカンドオーダーSQLインジェクションは本質を示していなそうです。

「入力値をサニタイズする」のが「一般的なSQLインジェクション対策」だと誤解をしなければ。

入力値だけじゃなくてSQLにかかるすべてのパラメータ（たとえばDBからもってきた値に対しても）でサニタイズが必要、それが一般的なSQLインジェクション対策。
それを怠った箇所を攻撃されるのをセカンドオーダーSQLインジェクションと呼ぶのはおかしいような気がします。

高木さんの意見に同感です。

[セキュリティ] IE7と証明書

Internet Explorer 7 Beta 2 Previewを試してみる − ＠IT
http://www.atmarkit.co.jp/fwin2k/productreview/ie7/ie7_01.html

また、SSLなどで通信を行う際、Webサイトの素性を証明するために証明書が使われる。この証明書の有効性はインターネット上にある「信頼された認証局」が保証するのだが、この認証局を自身で構築するなどして、正規の証明

書を装う、いわゆる「オレオレ証明書」が悪用される場合があった。これに対しIE7では、信頼されていない発行元の証明書を利用している場合は次のような警告が表示され、その危険性がユーザーに対して強調されるようになっている。

いわゆる「オレオレ証明書」を使用してるサイトを見るとき、ちょっと気持ちわるくなりますってことですね。

ところで従来、ルート証明書のアップデートはWindows Updateの中にひそかにまざっていました。
IE7ではルート証明書はデフォルトでmicrosoftの物しか入ってなくて、そのほかのルート証明書はmicrosoftさんとこから取ってくるんだとか。？？　かなり記憶があいまいですどこかのブログに見た情報なのですが忘れてしまいました。週刊スケッチさんのエントリにありました。[2006/05/09修正]

[セキュリティ] SQLインジェクション対策としてのprepared statement

prepared statement（プリペアードステートメント：準備済みSQL）とは
「select * from name where id = ?」
ようなSQLを予め準備（prepared）させといて、?の部分を実行時に展開させる
って方式。利点は２つ。

１．?の部分に都合の悪い文字が入ってきてもDB側で勝手にどうにかしてくれる。
　　→SQLインジェクション対策
２．パフォーマンスアップ

抽象的で申し訳ないです。詳細は他サイトをご覧ください。
http://www.atmarkit.co.jp/fjava/javatips/025jspservlet016.html
http://www.atmarkit.co.jp/fsecurity/rensai/webhole02/webhole01.html


私はDBあまり詳しくないので、どのDBが対応しているかわかりませんが、結構
対応してくれてるはず。

SQLインジェクションついては良い資料を見つけたのでメモ

<デブサミ 2006> SQLインジェクションの脅威インジェクションの脅威
http://www.seshop.com/event/dev/2006/data/download/9-E/9-E-7.pdf ←【PDF】です

もうちょっと調べてると「セカンドオーダーSQLインジェクション」という攻撃もあるんだそうです。
一般的な「SQLインジェクション対策」では防げないんだとか。いたちごっこ。
http://www.nikkeibp.co.jp/sj/special/76/05.html

[セキュリティ] IEのCSSXSSの脆弱性が修正しきれてないんだとか

# 正直、CSSXSSについてはリアルタイムで情報を仕入れてなかったのでフォローアップ。


IE(たぶんWindows版のみ)のCSSXSS(CSSクロスサイトスクリプティング)に関する
脆弱性が4月の月例パッチでは修正されていないようです。

CSSXSSとは、CSSのimport文などで他ドメインのCSSファイルの内容を取得し
JavaScriptで参照でちゃう、みたいなかんじです。

月例パッチ適用後、よく出回っていたエクスプロイトコードは無効になった
（脆弱性がなくなった）ようにみえて、まだ他の方法でCSSXSSが可能だそうです。

http://d.hatena.ne.jp/hoshikuzu/20060414#P20060414IECSSXSS