セキュリティ

今迄のモジュールの総括と、模試。10ドメインにばっさり分けられてはいるものの、実際には相互に関連しておりあっちの概念がこっちで、とか。レイヤ分けして理解しないと混乱してしまう。私の場合業務経験で半分以上のドメインは簡単な詰めこみですむのが幸いか。

で、模試。ミスをしなければ確信で8割いけるが、1問1分前後という時間制限と、本番の6時間という長時間によるケアレスミスを含めてぎりぎりというところか。大体の基礎はできている感じなので、後は連携部分と、「CISSP的に重要」という試験向けの理解を深める方向でよさそうだ。

以上(ぐでー)

モジュールEが確認なので、実質的に今日がまとめの内容。「アクセス制御」「アプリケーションセキュリティ」「運用セキュリティ」と内容も豊富。技術的になればなる程私は有利なので、今日も下地となる知識はばっちり。こういう所でCISSP的思考が必要などの欠点もわかるので、そこだけは対応が必要。

矢張り誤字やウェブアプリケーションセキュリティまわりの認識の違いが気になって、講師につい休憩時間につっこんでしまう。あと、BASIC がコンパイラ言語って、かなり珍しい意見だと思う。普通はインタプリタ言語だよねぇ…VBは別枠にあったし。

昨日に引き続き、モジュールBは「法、規則、コンプライアンス、捜査」「事業継続と災害復旧の計画」「物理（環境）セキュリティ」。全部苦手というかあまり関連した業務をしなかったので頭で概略を覚えているだけで、半分近く欠けている領域ばかり。

飲み物やおやつで体調とテンションに注意しながら受けたものの、昨日以上にぐったりと疲労。ノートも順調に2冊目に突入。暗記しなければいけない単語が多いし、ここが一番の難関かつ、覚えておけば点が稼げる領域になりそうだ。

朝から夜まで、ただひたすらにCISSP認定講師によるセミナーを受ける。CISSPの試験対策ではなく、あくまで考え方を詰めこみ理解を助けるためのセミナーなので、事前のある程度の理解は必須。ある意味受験条件に業務経験が必要なのは、理屈だけではなく実践で適用できる形に覚えていないとどうにもならないためと言える。

CISSPのCBK(セキュリティ分野における共通知識をまとめたもの)は、10ドメインに分かれている。今日はその中から、モジュールA(全5モジュール)として「イントロダクション」「情報セキュリティとリスクマネジメント」「セキュリティアーキテクチャと設計」を受講。

事前情報に従ってノートと単語帳と筆記用具を持参し、ただひたすらにノートを取り続ける。どうせテキストの内容は後から見直せるので、思考法を理解する方が先決だ。かなり余裕をもって実効スペース1/4位程でかいているとは言え、一日終了でノートの2/3が埋まった。万年筆でよかった…これがボールペンなら間違いなく手首にきてしまっている。筆圧が弱くてさらさらと書ける万年筆に感謝。

〆めの自己確認テストまでやって、講師にも質問してセミナー終了。その後、ちょっと仕事場に顔を出してみると、何故かトラブル発生。いきなり関連のミーティングにも誘われ、結局仕事をこなしてから帰宅。頭が働かん…。

なお、昨年までは分厚いCISSP本を配布していたそうだが、今年からは資料を一新したのとサービス分終了ということで配布はなし。CBKの全文を見るには英語で公式サイトを見るしかないのか…テキストに主要部分はまとめられているとはいえ、ちょっと不安だ。

急にMAC(強制アクセスコントロール)まわりの把握が必要になったので、昨日に引き続き紀伊国屋本店に行き、購入。こういう時はオライリー本かAWに限る。

• SELinuxシステム管理――セキュアOSの基礎と運用 (Bill McCarty)

信頼性でWikipedia対抗　朝日新聞、講談社、小学館など無料辞書サイト – ITmedia News

とりあえず、公開鍵暗号を書いた人は Bruce Schneier に小一時間説教されてきてください。よくもまあという位にツッコミ所が多すぎて、真実を拾う方が大変だ。

Microsoft が定例でセキュリティアップデートを出す日。今回も予告通り当てなきゃ駄目なパッチが出ていた。

それだけならまだいつも通りなのだが、今月は「標的型攻撃で悪用」されたところから見つかった Adobe Acrobat(Reader) の脆弱性の更新も出ている。だが、急いだからなのかどうかは知らないが、日本語ページからは英語へのリンクがあるだけ。少なくとも当初はソフトウェアからのアップデート確認でも出ず。

まあ、色々と仕事柄余分な時間を喰われまくった一日ということで。

ラック、「Webセキュリティ診断サービス・初診コース」をAmazonで販売

ほお、というわけで張ってみる…本当だ。これで少しはまともなウェブサイトが増えてくれると良いのだが。コピペで作ったようなCGIは大抵天然で問題を作りこんでるしね。

報告会で対応のノウハウを質問できるだろうから、慣れていなければそちらの方が得なのかな。東京以外だと監視センター(JSOC)行きのようだけど、監視の様子の見学もできるだろうし。

…しかしこのバナーはどうにかならなかったのか。少々恥ずかしい。

CPNI-957037: SSH 通信において一部データが漏えいする可能性 (セキュリティホール memo)

SSH の設定によっては、極めて低い確率で 14bit〜32bit の平文を任意の暗号化ブロックから取り出せるというもの。先日の WPA の TKIP よりはちょっと深刻度が上だが、念のために今から設定を変更したりバージョンアップで対応しておいた方が良いというのは同じ。

暗号化に CBC(暗号ブロック連鎖)モードでなく、 CTR(カウンター)モードなどを利用すれば良いらしい。OpenSSH での設定例などは、リンク先を参照。商用製品にも一部影響がある可能性があるので、要チェック。