仕事をし始めて、今年でちょうど20年目になった者です。
情報システム関連の業務にずっと携わってきましたが、中でもWEBとデータベースを扱うシステムの開発や保守が主でした。
総工費億越えのシステムの一翼も何度か担わせていただいたこともあり、専門分野であると言い切ってもいいかな、と自負しています。
ですが、ここ数年は当社JSPの意向にて、動物病院向けのペット見守り製品「monipet」の販売営業や、スマートフォンアプリの開発もやったりと、なだからなジョブチェンジをしているところでした。
が、そのような中、また新たな分野へ挑もうとしています。
まだ決まっていない状況ですが、もしかしたら情報システムのセキュリティに関する仕事もすることになるかもしれないという....
このセキュリティという名の下に、守るべきものは多岐にわたりますね。
すぐ思いつくのはやはりインターネットやメールによって感染するコンピュータウィルス。OSやソフトの脆弱性を利用して、サーバやパソコンの管理者権限が乗っ取られたりなりすまされたりして、機密データを入手されたり、勝手にデータを改ざんされたり、抹消されたりします。
サーバを乗っ取ることができれば、本来参照したいWEBサイトとは別のサイトに知らぬ間に誘導されるようにWEBサイトを改ざんしたり、別のWEBサーバ等へ大量に通信データを送りつけて他者がそのWEBサービスを利用できなくしたり、何でもできてしまいます。
また、サーバを乗っ取らなくても、WEBサイトやソフトウェアに対して脆弱性を突くデータを入力するだけで、サービス提供側が予期しない動作をさせることもできますね。
パスワードを解析してユーザーになりすますやり方も色々あるようです。
そのような脅威から守るための仕事に就く....かもしれないということで、セキュリティ対策の勉強を始めました。
ひとまずはIPAが所管である情報処理安全確保支援士の資格を目指してみるかなと思い、今年秋期の試験の願書を提出しました。
久しぶりの受験ですはい....
今までとは全く違う分野だろうから学習に苦労するだろうなー....と思っていましたが、存外、20年もこの業界に携わっているので、多少理解している領域もあることがわかりました。
WEBとデータベースによるシステム開発が主でしたので、その領域で設計段階で対処するセキュリティ対策はもはや当たり前のこと。
セッション乗っ取り・クロスサイトスクリプティング・クロスサイトリクエストフォージェリ・ディレクトリトラバーサル・CORS・SQLインジェクション・他、OSやソフトの権限設定等々、それらの対策まァやりますね。
こういったことは、今やミドルウェア・フレームワーク・ライブラリ等が対応しているので、それを採用すれば簡単に対策できるものです。
逆に、未だに10年前の手法で開発したり、フレームワーク等を使わずに自前で開発したりすると、セキュリティホールができる可能性が高まってしまいます....
そのようにある程度理解している分野はありますが、勉強していてわかっていない分野もやはり多々ありました。
例えば、よくバッファオーバーフローを起こさせてOSの権限を乗っ取るとかいいますが、具体的にどうやって乗っ取るのか。
TCP/IP通信のヘッダーを改ざんしてセッションハイジャックできたりする、とか。
メールやインターネットで、具体的にどうやって本来とは別のホストに誘導させるのかとか。(DNSキャッシュポイズニング)
いやはや、世界中の悪いことを考える人たちは賢いと思います、全く褒められたことではありませんが。
実際にこの分野で本当に仕事をするかはまだわかりませんが、ちょうどいい学習の機会と思っています。
情報処理安全確保支援士....午後の試験は難しそう....
(午前の問題も知識幅が広くて大変ですけどね....過去問過去問...)
(酒)
シンプル入退室管理
限りなくシンプルなタイムカードシステム
monipet
動物病院の犬猫の見守りをサポート
病院を離れる夜間でも安心
moni-stock
一括スキャンで入出庫・棚卸作業にかかる時間を短縮
お客様も現場も笑顔にする在庫管理システム
moni-meter
脱・手書き!点検データをデジタル化して誤検針削減
ローコストで導入しやすい設備点検支援システム
Smart mat
重さセンサIoTで在庫管理に革新を。
自動発注&メールアラートで欠品・発注ミスを防ぎます
株式会社ジェイエスピー
横浜に拠点を置くソフトウェア開発・システム開発・
製品開発(moniシリーズ)、それに農業も手がけるIT企業
情報システム関連の業務にずっと携わってきましたが、中でもWEBとデータベースを扱うシステムの開発や保守が主でした。
総工費億越えのシステムの一翼も何度か担わせていただいたこともあり、専門分野であると言い切ってもいいかな、と自負しています。
ですが、ここ数年は当社JSPの意向にて、動物病院向けのペット見守り製品「monipet」の販売営業や、スマートフォンアプリの開発もやったりと、なだからなジョブチェンジをしているところでした。
が、そのような中、また新たな分野へ挑もうとしています。
まだ決まっていない状況ですが、もしかしたら情報システムのセキュリティに関する仕事もすることになるかもしれないという....
このセキュリティという名の下に、守るべきものは多岐にわたりますね。
すぐ思いつくのはやはりインターネットやメールによって感染するコンピュータウィルス。OSやソフトの脆弱性を利用して、サーバやパソコンの管理者権限が乗っ取られたりなりすまされたりして、機密データを入手されたり、勝手にデータを改ざんされたり、抹消されたりします。
サーバを乗っ取ることができれば、本来参照したいWEBサイトとは別のサイトに知らぬ間に誘導されるようにWEBサイトを改ざんしたり、別のWEBサーバ等へ大量に通信データを送りつけて他者がそのWEBサービスを利用できなくしたり、何でもできてしまいます。
また、サーバを乗っ取らなくても、WEBサイトやソフトウェアに対して脆弱性を突くデータを入力するだけで、サービス提供側が予期しない動作をさせることもできますね。
パスワードを解析してユーザーになりすますやり方も色々あるようです。
そのような脅威から守るための仕事に就く....かもしれないということで、セキュリティ対策の勉強を始めました。
ひとまずはIPAが所管である情報処理安全確保支援士の資格を目指してみるかなと思い、今年秋期の試験の願書を提出しました。
久しぶりの受験ですはい....
今までとは全く違う分野だろうから学習に苦労するだろうなー....と思っていましたが、存外、20年もこの業界に携わっているので、多少理解している領域もあることがわかりました。
WEBとデータベースによるシステム開発が主でしたので、その領域で設計段階で対処するセキュリティ対策はもはや当たり前のこと。
セッション乗っ取り・クロスサイトスクリプティング・クロスサイトリクエストフォージェリ・ディレクトリトラバーサル・CORS・SQLインジェクション・他、OSやソフトの権限設定等々、それらの対策まァやりますね。
こういったことは、今やミドルウェア・フレームワーク・ライブラリ等が対応しているので、それを採用すれば簡単に対策できるものです。
逆に、未だに10年前の手法で開発したり、フレームワーク等を使わずに自前で開発したりすると、セキュリティホールができる可能性が高まってしまいます....
そのようにある程度理解している分野はありますが、勉強していてわかっていない分野もやはり多々ありました。
例えば、よくバッファオーバーフローを起こさせてOSの権限を乗っ取るとかいいますが、具体的にどうやって乗っ取るのか。
TCP/IP通信のヘッダーを改ざんしてセッションハイジャックできたりする、とか。
メールやインターネットで、具体的にどうやって本来とは別のホストに誘導させるのかとか。(DNSキャッシュポイズニング)
いやはや、世界中の悪いことを考える人たちは賢いと思います、全く褒められたことではありませんが。
実際にこの分野で本当に仕事をするかはまだわかりませんが、ちょうどいい学習の機会と思っています。
情報処理安全確保支援士....午後の試験は難しそう....
(午前の問題も知識幅が広くて大変ですけどね....過去問過去問...)
(酒)
シンプル入退室管理
限りなくシンプルなタイムカードシステム
monipet
動物病院の犬猫の見守りをサポート
病院を離れる夜間でも安心
moni-stock
一括スキャンで入出庫・棚卸作業にかかる時間を短縮
お客様も現場も笑顔にする在庫管理システム
moni-meter
脱・手書き!点検データをデジタル化して誤検針削減
ローコストで導入しやすい設備点検支援システム
Smart mat
重さセンサIoTで在庫管理に革新を。
自動発注&メールアラートで欠品・発注ミスを防ぎます
株式会社ジェイエスピー
横浜に拠点を置くソフトウェア開発・システム開発・
製品開発(moniシリーズ)、それに農業も手がけるIT企業
アクセス
トータル
ランキング
※コメント投稿者のブログIDはブログ作成者のみに通知されます