引き続き、テクニカル「情報セキュリティ」の午後試験。
先に、出来具合を行っておけば、う~ん、完璧な回答が出来たとはいいにくい。あとは採点者がどう評価するか・・・だが、ヒネリが効き過ぎてなければいいけど・・・(苦笑)
しかし!!!、ちょっと文句を言わせてもらおう。
午後試験の問題、きわめてIPAらしい(もちろん、これは、よくない意味で言っている)。なぜならば、午後1、2とも、(私の問題選択も多少影響してるかも知れないけど)「セキュアプログラミング」「暗号・PKI」がらみのオン・パレードじゃないの?。ちょっと問題が偏りすぎなんじゃないだろうか。セキュリティSI技術者に必要とされるスキルはこんなもんじゃないでしょ。そもそも、セキュアプログラミングなんて「セキュリティ」で取り上げるんじゃなくて、プログラマーや開発SE対象の各試験に入れた方がいいような問題ばかり。すごく試験の焦点がボケた問題作りじゃないかと思う。むしろ、もっとジェネラルな意味でのセキュリティの知識や経験、コンサルティングの能力を問うようなものにしてほしかったなと思う。テクニカルというのなら、もうちょい、セキュリティのコアな技術に触れてもいいんじゃないだろうか。たとえば、IDSのチューニングや日常運用は???、バッファオーバフローの発生原理は、みたいな。
もし、プログラマーを意識したのであれば、それは間違いだと思う。セキュリティはプログラマーや開発SEの基本的な(必須の)資質であって、それだけ(その資格だけ)もっていればいいものじゃ決してない。先に書いたように、単独の試験ではなく、他の試験の必須要件としてこれらは組み込まれるべきだと思う。
セキュアド第一回試験の時は、良くできた問題に感心したけど、今回はかなりがっかりした。試験の位置づけをもう一度、しっかりと考えてほしいと思う。
さて、あとはこれが「負け犬の遠吠え」にならないことを祈ろう。(苦笑)
今年は問題傾向を見るためにわざと受験せずじまいでした。そっかー。結構偏っていたのですね。
あくまで、私の個人的印象ですが。
システムの開発工程がらみで、システム(ソフトウエア)の仕様上の考え方だとか、その中での暗号や電子署名とその基盤であるPKIなどにからんだ設問、設定が目立ったわけで。
つまり、(ソフトウエア)システム開発畑以外の人には全般的に敷居が高いし、また、「役に立つ」技術として見た場合、暗号・PKI以外にもいっぱいあるだろう・・・と個人的には思うので、ちょっと、なんだかなぁ、と思った次第です。