タグ: Security

2016/04 に受けた情報セキュリティスペシャリスト (SC) 試験の合格発表が先日あり通過していました。
情報セキュリティに興味がありSC試験には受かりたいけど, 試験のための勉強はあまり気が進まない/続かない人向けの試験対策法として僅かでも参考になればと思います。

自分は以下のような状況でした。

• 情報セキュリティ, 特にセキュアコーディング周辺の興味はある
• 情報セキュリティに関する実務経験はない
• 会社のインシデントレスポンスの研修(5日間)に参加した
• 勉強可能な時間は2h/day程度はあるが, なるべく試験勉強には使いたくない

実務経験なしを補う

情報セキュリティに関する仕事をしていないので, 仕事が終わってから頭を切り替えてSCの勉強をするのは苦痛でした。

ただ, セキュアコーディングには興味があったので, 趣味で作っているWebアプリに脆弱性がないか調べて対策を入れていったりしました。
開発者が自分1人の場合, 脆弱性の存在に気づかず知らない間に踏み台にされているかもしれません。しかし, このような自分で対策をしなければならない環境をあえて作れば, 色々とセキュリティについて調べるようになり, 実務経験がないのを僅かにカバーできるかもしれません。

情報セキュリティに関する実務と言っても範囲は広く, 上記はWebセキュリティに限った場合ですが, マルウェア解析に興味があればハニーポットを作ってみたりと自分の興味ある分野で手を動かしてみるのが良いと思います。

直接SC試験の勉強をせずに, SC試験に関連したセキュリティについて学ぶための入り口としては例えば以下のような方法がありそうです。

• 作りたいWebサービスを作って, (まずはローカル環境で) Kali Linux などを使ってペネトレーションテストをしてみる
• クラウドホスティングサービスやVPSなどを借りてみて, 外部からどのような通信が来るかモニタリングしてみる
• 学生の場合, セキュリティ・キャンプに応募/参加してみる
• 社会人の場合, 攻撃者の立場で会社のどんな情報をどのような手法で搾取しようとするかを考えてみる

より受動的な方法としては, 下記のような脆弱性情報に関するサイトを見る習慣をつけるのも良いかもしれません。

• Japan Vulnerability Notes
• JPCERT コーディネーションセンター
• セキュリティ、個人情報の最新ニュース：Security NEXT
• 注意喚起情報・脆弱性情報 | セキュリティ情報 | 株式会社ラック

セキュキャンの過去の発表スライドや, IPAが公表している資料を見るのも良いと思います。

また, 情報セキュリティに関する本を読むのも手です。ガチガチの技術書より読み物の方が途中で挫折しない気がします。電車通勤の場合, 暇つぶしにもなります。

暗号技術に関しては, 暗号解読 (サイモン・シン) を読みました。個人的にはエニグマ辺りの話が特に面白かったです。

暗号技術の仕組みについてのわかりやすい入門書としては暗号技術入門がオススメです。

会社の研修/勉強会を利用する

SC対策講座の研修や自発的な勉強会が開かれている会社もあると思います。もしあれば, 仕事に疲れて家に着いてから勉強するよりも効率的に勉強できると思うので参加してみるのがオススメです。

自分の場合, 珍しいかもしれませんが, 会社でインシデントレスポンスの研修 (5日間の研修でウン十万円程度の費用らしい) を受ける機会があり参加しました。

このような研修を受けるメリットは午後試験の問題で出てくる状況のイメージがし易くなる点だと思います。

詳しい研修内容は書けませんが, 大体以下のような事について学びました。

• 過去の事例紹介 (攻撃の経路, 攻撃の内容)
• インシデント管理の基礎 (CVE, インシデントの優先付け)
• ネットワークモニタリングの基礎
• SIEM/EPOの基礎
• ログ分析の基礎
• マルウェア静的解析の基礎 (検体の確保, バイナリ解析)

研修の中で, インシデントレスポンスにおける基本的な考え方として, 攻撃手法は技術の進化によっても変わっても攻撃のプロセス [1] は変わりにくい点を繰り返し強調していました。

参加機会があるかは環境によるところもあると思います。難しい場合は, CTF (Capture The Flag) に参加する方法もあります。CTFではセキュリティに関する広範な知識・技術が問われます。国内だと SECCON が有名です。自分はまだやっていないですが演習問題を出題してくれる, ksnctf というサイトもあります。

また, 自分が受けた研修に割と近い内容を扱っている本を見つけたので読んでみるのも良いかもしれません。

より実戦的な攻撃手法を学ぶには下記がオススメです。

CTF関連の本も出ています。

午後試験対策からは逃げられないかも

直接的にSC試験対策はせずとも日頃から情報セキュリティにアンテナを張っていれば, 午前IIまでは突破できると思います。(基本情報技術者くらいの知識はある前提ですが)

しかし, 午後試験は記述なので過去3年分くらいは午後試験を解いて慣れておいた方が良いと思います。

下記は個人的に注意したポイントですが, かなり個人差があると思うので参考にならないかもしれません。

• 小問が多い問題を選択する。配点が細かい方が心理的に安心できる。
• 問X 〇〇に関する次の記述を読んで~ の〇〇を常に頭の片隅に置く。長文になると主題を忘れやすくなるので。
• 問題に書き込みまくる。特に下線の番号は, 横に大きく書いておくと後々探しやすくなる。

午後中心の対策本もあります。SCだけの参考書を買いたくなかったので, 高度共通の午後I対策本を読みました。

おわりに

SCは情報処理安全確保支援士に変わるらしく, SCを持っていると試験免除になるそうです。
確かに”情報セキュリティスペシャリスト”という名前という名前は大げさに思えます。自分も少々知識を得た程度の素人なので…
ただ, 高度試験の中でもSCは最も簡単と言われているらしいので, システムアーキテクト試験などは本当に実務経験豊富なスペシャリストでないと受からないかもしれません。

最後に, 情報セキュリティ関連で読んだ本をメモっておきます。

• サイバーリスクの脅威に備える [読了]
• 暗号解読 (上/下) [読了]
• 暗号技術入門 [読了]
• 情報処理教科書 高度試験午後I記述 春期・秋期 [読了]
• 実践サイバーセキュリティモニタリング
• サイバーセキュリティテスト完全ガイド ~Kali Linuxによるペネトレーションテスト~
• ブラウザハック

個人的に興味あるのは データ分析 (統計/機械学習) x セキュリティ の分野で, 最近出たオライリー本が興味に近い感じで早速買ってみました。

[1] 標的の偵察, マルウェアのデリバリ(侵入, 常駐, 拡散, 持続性の確保), C&Cサーバとの通信といった目的の遂行までの一連の流れ。
[2] 認証にまつわるセキュリティの新常識