読者です 読者をやめる 読者になる 読者になる

コンパクトでない空間

a good experience become even better when it is shared

セキュリティスペシャリスト試験受けましたレポ

実は秋季セキュリティスペシャリスト試験を受けていた。
セキュリティスペシャリストというのは、IPA(情報処理推進機構)が行っている国家試験、情報処理技術者試験のうちのひとつで、それのレベル4にあたる。
ITパスポートと情報セキュリティマネジメント試験がレベル1、基本情報技術者試験がレベル2、応用情報技術者試験がレベル3で、位置づけ的にはその一個難しいやつ、ということになるが、実際にはレベル4の試験の中では比較的簡単と言われているらしい。
毎年4月と10月にそれぞれ春季と秋季の試験を行っていて、先日結果が発表され、合格がわかったので堂々とブログに書けるようになったというわけ。

特段セキュリティに興味があるというわけではなかったのだけれど、例によって彼氏に「一緒に受けよう」と誘われて、まあサークルでもサーバー管理係とかやってたし、勉強してみてもいいかなー、ぐらいの気持ちで受けた。
結果的に、受けてみてよかったと思う。
将来仕事に活かすことになるかはまだわからないし、どちらかというとセキュリティの専門職につくような気はしないのだけれど、ある程度情報を学んでる者なら一般常識として知っておいていい話はあったのかな、と感じた。
先日ブログにも書いた千葉大学のセキュリティバグハンティングコンテストに参加しようと思ったのも、この試験を受けてセキュリティを少し身近なものに感じるようになった、というのもある。
当時はとりあえず講習を受けてみるか、程度の気持ちでしかなかったものの、結局はじめてみたらノリノリになって、これをきっかけに今まであまり話したことがなかった人とも話すきっかけが得られたし、出会えた人も多くいること、今後もっと仲良くなれるかもしれないことまで含めると、相当影響を受けているとも思える。
例によって私は勉強がうまいわけでも好きなわけでもなく、試験対策勉強法なんて書けるほどのものじゃないので、感想とか、どういう人ならおすすめできるかとか、そんなことを書こうと思っている。

午前は小問が並ぶ選択問題、午後は長文を読んで答える筆記と選択が混じった問題なのだけれど、長文問題が結構読んでいて面白かった。
過去問等をいくつか解いていると、大体長文の流れは決まっている。
まず、自社で出しているITサービスとネットワーク構成が説明されたあとで、同業他社や自社でセキュリティ上の問題が発覚したというところから話ははじまる。
そこで、主人公の企業は外部のセキュリティの専門家か、内部の専門家に調査を依頼する。
調査の結果、適切にパッチが管理されていない、利用しているフレームワークセキュリティホールが見つかった、等の問題がなにかしら見つかる。
そこで、企業は対応策を検討し、最適と思われる対応をとって、問題が解決しました、めでたしめでたし、と物語は結末を迎える。
これが読んでて結構面白い。

まず、企業の規模や、システムに個性が感じられて、読んでて実在してる企業みたいに思えてくる。
登場人物も、セキュリティに疎い人から専門家まで様々なレベルの人がいて、調査を命じたり調査の結果の報告を聞く上司も、担当者より詳しいこともあれば、担当者の方が詳しいこともある。
調査や改革の規模もセキュリティマニュアルを作りなおすレベルのものから、一部改善するにとどまるものまでいろいろあるし、セキュリティの問題のレベルも、致命的なものから、緊急は要さないけれども改善したほうがベター程度のものまでいろいろある。
フレームワークセキュリティホールが見つかった時は、パッチを当てる対応策とファイアーウォールに制限をかける対応策を検討し、通常はパッチを当てるのが教科書的な対応だけれども、それじゃ動作テストに時間がかかりすぎるという理由でファイアーウォールの対応策を採用していて、とても興味深かった。
そんな感じで、話がリアルで読んでいてクスッと笑えるものがあったり、登場人物に感心させられたり、勉強になったり、面白い。

さて問題の方はというと、そんなに高度なことは要求されない。
といっても、ある程度知識を要求はされるのだけれど、どちらかというと専門家の調査の結果や対応策を読解できるかどうか、が問われているという印象だった。
専門家の見解や対応策の部分に下線がひかれていて、「なぜそう言えるのか答えよ」とか「どうしてこの方法で対策になるのか説明せよ」とか、そういった感じで、答えは文章中からほぼ抜き出すような形で答えられる場合も半分ぐらいある。
この資格をとれば、すぐにセキュリティの専門家になれますよ、という資格ではない。
どちらかというと、セキュリティの専門家に調査を依頼した際、その結果の報告を理解することができるようになる、という感じだ。

実際、千葉大学セキュリティバグハンティングコンテストで、セキュアスカイさんの様々なお話、講座を聞いていると、なかなか調査を依頼した会社に問題点を伝えるのは難しいのだろうな、と感じた。
セキュリティ上の問題を指摘したら、「それはバグではなく仕様です」と言われた、なんてエピソードもあったし、必ずしも全てのITサービスを提供している会社がセキュリティの基礎知識がある人を雇っているわけではないのだろう。
こういったサービスを提供したいという思いで会社を立ち上げ、技術はこれから学ぼうという段階の会社であっても、セキュリティは必要になる。
右も左もわからないが、とにかく挑戦してみようという思いで、セキュアスカイさんに調査を依頼する会社もあるのだろう。
どんな会社でもセキュリティを向上させようと依頼に来た時点でお客さんはお客さん、セキュリティ会社としては話が通じないからといって無下にはできない。
サイバー・ノーガード戦法なんて揶揄される、セキュリティにはコストをかけず、ガバガバのまま放置し、万が一があったら法律になんとかしてもらおう、なんて会社より百万倍頑張っているといえる。
セキュアスカイさんの担当者は一生懸命噛み砕いて説明しようと努力することだろう。
しかし、調査を依頼した側に調査結果の説明を理解する最低限度の技術力がなければ、なかなか話は進まない。
説明から教訓を得、セキュリティを向上させるには、会社の側にも技術力が必要なのだ。
何百万と支払い、打ち合わせや報告で時間を割いたにも関わらず、結果的にセキュリティは大して向上しない、根本的に解決しない、なんてことが起こりうるのだろう。
そんなときに、セキュアスカイに調査を依頼した会社側にセキュリティスペシャリストをとった人が一人でもいれば、会社側も無駄に時間をかけずに調査結果をあますところなくセキュリティの向上に反映できるし、セキュアスカイさんもスムーズに話が進んで大助かり。
なんて素晴らしいセキュリティスペシャリスト試験。
進○ゼミバリの活躍っぷりだ。
まあ、全部勝手な想像でしかないのだけれど。

勝手な想像で多方面に失礼な書きまくった気がするが、勝手に会社名を出してしまったセキュアスカイさんを代表としたみなさんが寛大な心で許してくれることを期待したい。
進研ゼ○も。
進研○ミなんて茶化して言ったけれど、冗談抜きに実際そういう場面で活躍するのだろうと思う。
私は社会に出たことなんてないので、現実を見たわけれはないのだけれど、少なくともセキュリティバグハンティングコンテストのハンターライセンス取得講習会の講座では、「あ、これセキュリティスペシャリストで見た!」はわりとあった。
まあ、だからといってすぐわかるわけではなく、「勉強した覚えはある!けど、なんだっけ?」となるのが、現実ではあるのだけれど、少なくとも聞いたこともないよりはとっつきやすいし、少し調べれば思い出せる。

来春からは新試験で名前が変わり、セキュリティスペシャリストに代わる試験は情報処理安全確保支援士試験、となるらしい。
春、秋、どちらとも受験が可能なので、次回受けようと思ったら2017年の4月に受けられる。
ちなみに、セキュリティスペシャリストもしくは情報処理安全確保支援士に合格した上で、更に登録料2万ぐらいと、講習費何万だかを毎年とを払い、講習を受講すると、情報処理安全確保支援士を名乗れるらしい。
なんかかっこいい気がするが、かっこいいという理由だけで支払うには高すぎる。
セキュリティスペシャリストについては、2018年8月までに登録しないとそれ以降は登録の資格を失うらしいが、情報処理安全確保士に関しては一度合格すればいつでも登録が可能なようなので、これから受験する人は必要になったときに登録すればいいのではないかと思う。
これを読んで興味を持った方がいれば、1/12には申し込みを開始するらしいので、是非来春に受験してみてはどうだろうか。