プログラマ
外部からの攻撃に対する守りを固めるポジションのプログラマーは、バッファーオーバーフローや類似のRetrun into libC攻撃、SQLインジェクション、アクセス制御、暗号化破り等の既知の攻撃手法を学び、正しい対策を実施しておく必要があります。「鍵がしっかりと掛かる建造物」を構築する役目があります。
プログラマに必要なセキュリティスキルのロードマップは以下の通りです。
Level 1 | IT基礎スキル(高度) | |
---|---|---|
コンピュータ基礎 |
機器
概念
基本理論
ハードウェア
ソフトウェア
OS
|
|
ソフトウェア基礎 |
概念
OS
APL
アルゴリズム
機械語
ASM
C
DeviceDriver
オブジェクト指向
|
|
データベース基礎 |
概要
表
Excelとの関連
索引
SQL
正規化
|
|
ネットワーク基礎 |
概要
TCP/IPプロトコル
IPv4
IPv6
機器
|
|
運用知識基礎 |
ID/pass管理
リモート接続
メール利用方法
USBメモリ管理
PC管理
情報端末利用方法
機器
|
Level 2 | ソフトウェアエンジニアスキル | |
---|---|---|
基礎内容 |
アルゴリズム 順次処理
条件分岐
繰返
交換
配列
検索
並替
二分検索
グループ化
マッチング
オブジェクト指向概念
|
|
DB |
データベースの概要
表
索引
ビュー
シノニム
ユーザ権限
SQL
|
|
プログラミング |
アルゴリズム実践
|
|
オブジェクト指向 |
クラス
継承
ポリモーフィズム
デザインパターン
テスト技法
|
Level 3 | セキュリティ基礎スキル | |
---|---|---|
マネジメント基礎 |
仕組み
構成と内部統制
ガバナンス
リスクアセスメント
監査
運用に関する規定の策定
関連の規格・法律
|
|
認証技術基礎 |
運用に関する規定の策定
関連の規格・法律
アクセス制御の基本
「識別認証、認可、責任追跡性」
認証技術
PKI
電子証明書
|
|
アーキテクチャ基礎 |
評価(ISO/IEC15408)
セキュリティモデル
セキュリティのフレームワーク
セキュリティプロトコル
冗長化
VPN
負荷分散
ぺネトレーションテスト
|
|
攻撃手法基礎 |
ファイアウォール技術
IDS/IPS
スイッチ/ルーター対策
アプリケーションウイルス対策
バッファオーバーフロー
パスワードクラッキング
SQLインジェクション
ソーシャルエンジニアリング
マルウェア
|
Level 4 | セキュリティスキル | |
---|---|---|
運用知識 |
リモート接続
メール利用方法
USBメモリ管理
個人情報管理
PC管理
情報端末利用方法
機器
|
|
マネジメント基礎 |
情報端末利用方法
機器
概念
基本理論
ハードウェア
監査
運用に関する規定の策定
関連の規格・法律
|
|
認証技術基礎 |
「識別認証、認可、責任追跡性」
認証技術
暗号技術(共通鍵,公開鍵,ハッシュ関数)
電子署名
PKI
|
|
管理支援 |
セキュリティ対策手法のコストに関する知識
情報システムの脆弱性分析
情報システムの脅威分析
セキュリティ要件定義
セキュリティ機能の設計
|