【IT】ウェブ特化のセキュリティーの新試験、第一人者が監修
■ このスレッドは過去ログ倉庫に格納されています
ウェブシステムへのサイバー攻撃が後を絶たない。顧客情報が流出して、企業として信頼を損なう事例が相次いでいる。こうした状況を打開するため、ウェブに特化したセキュリティー試験が始まる。第一人者を監修に迎えて、サイト運営者や開発者の受験を見込む。セキュリティー人材が慢性的に不足するなかで、新たにオープンな門戸を設ける。
ウェブ向けで利用されるプログラミング言語「PHP」の技術認定などを手がける社団法人PHP技術者認定機構(東京・世田谷)が新たな試験を2019年春から始める。この「ウェブ・セキュリティ試験」は、ウェブシステムの開発者や一般企業の運営担当者などを対象にする。
試験の監修は同分野に詳しく、解説書で著名なコンサルタント、EGセキュアソリューションズ(東京・港)の徳丸浩代表取締役が務める。「セキュリティーの知識を底上げしたい」。今回の試験の狙いを話す。
「ウェブシステムへのサイバー攻撃の被害が相次ぐ。原因のひとつは絶対的な知識不足だ」(徳丸氏)。そもそもサイバー攻撃による被害は、古典的な手口によるものが多いという。
https://www.nikkei.com/article/DGXMZO38742120Q8A211C1X20000/ >>1 >>2 >>3 >>4 >>5 >>6
コンピューターサイエンスの基本がないセキュリティー人材養成には意味がない
大半のシェルコードはコーディング内の弱い部分を使う
例えば未定義動作とか、一度捨てたメモリーを放置したままにしたものを読み取るとか、バッファーをオーバーフローさせる手法だが、
どれもプログラマーが危険箇所を熟知していれば大抵は防げる
ユーザースペースのコーディングだけでなく、OS側の弱さも理解していないといけないから、OSのソースコードも
それなりに読めないと厳しい
リバースエンジニアリングや、マルウェアを作る能力がないなら、セキュリティーが動作しているかのテストすら怪しい 一般人の私からしたら、「こんなのセキュリティでは常識だろ」がさっぱりわからん。
よく皆、ポート全ふさぎの状態から、会社で使うすべてのポートを一つずつ開けていく知識があるもんだ、と
感心するわ。 どうせ誰がやっても網羅し続けるなんて無理なんだから
資格取得は定期的なレポート発表にすればいいんよ ウェブって何?
まさかホームページのことじゃないよね
イそターネットのことかな >>7
資格を取ってもそのうち介護で働くようになるのか? 現場で通用しなくなったら権威で勝負。今の第一線には良い傾向 コンテンツ作成側が勉強するのはいいけど、作って貰う側はツールで調べればいい話じゃねーの >>5
>>10
New Analysis: The Most Hackable Programming Language Is Hands-Down PHP
Java and the .NET family get high marks while web languages lag.
https://motherboard.vice.com/en_us/article/ezp4ek/new-analysis-the-most-hackable-programming-language-is-php-by-a-mile PHPから入った人がいきなりセキュリティを学ぶのは無理がある
教養としてCとSQLとサーバー構築、ネットワーク設計くらいまで学んではじめて入り口じゃないの >>18
狭い意味でなら実践的であるが、広い意味では実践的とは言えない
第一に現在知られている脆弱性のチェックは、自動安全確認ツールを作って世に公開して貰うほうが効果的
第二にPHPのセキュリティーはおそらく最弱であり、そもそもスクリプト言語はセキュリティーが必要なサイトの実装言語に向いていない PHPを信頼性の必要なサイトで使用する限りはPHPが生み出すバグに対応するための「PHPセキュリティ」ビジネスが成立するが、そこまでしてPHPを使い続けるべきか疑うべきだ
信頼性が必要なのであれば、なるべくPHPを使わないように啓蒙した方が良いし、どうしても使いたいなら >>1 のような専門家を重用することになる いまだ世に知られていない脆弱性に付け込まれないための安全なコーディングを心がけるべきだがPHPでは難しい PHP自体がセキュリティホールを作り続ける限りは需要はあるが、そこまでしてスクリプト言語に
こだわるべきか疑念を呈すべきだと考える >>6
おじいちゃん、その程度の認識でWebのセキュリティーやるのは大変よ 貴重なリソースを、ただ浪費するだけだから資格取得は、クソの役にも立たない。
いらん。
オトコにモテるためにネイルを極めようとするオンナみたいなもので、ズレまくってる。
ビジネスあるいはポートフォリオのために、さっさとプロダクト、サービスつくったほうがマシ。 >>24
PHPの脆弱性を知っただけでウェブが特殊という考え方は安易で危険
公表された脆弱性リストの管理に限定するならともかく
コンピューターサイエンスが出来ていない人材だとソースコードを見てもセキュリティーホールが見えてこないだろう
特定の機関等から公表済みの脆弱性以外は分からないとなると、ツールで十分に感じる >>24
資格を作る側がPHPで実装したウェブアプリケーションに特化してると広告しているのであれば全く問題はない
「ウェブ・セキュリティ試験」とするならJava/.NET/JSあたりもカバーできてないとおかしくなるし、フレームワークやOSによっても
変わるわけで、その辺はどうなってるのか?
PHPの知識からウェブ全体のセキュリティを語れると断言できる自信があるというなら別だが 同じとこがやってるPHP資格の受験料は初級12,000円、上級15,000円だそうだ
参考までに別組織であるIPAのセキュリティ資格は受験料5,000円、3年毎の資格維持費140,000円 そもそも徳丸浩って誰だよ
お前ら知ってる?なあ?第一人者なんだろ?
誰なのか教えてくれよ!なあ!! >>31
法や社会秩序の範疇内で個人としてハッキング(CTF等)をやっていたとか、脆弱性を自ら発見して発表したとか、
コンピューターサイエンスの学位やそれに相当する経験や、OSSでのセキュリティツール開発実績があるのが望ましく、資格は不要だ
WEBセキュリティの専門家は、WEBドメインの知識があるコンピューターサイエンスの専門家であるべきでPHP脆弱性対策屋に毛が生えた
程度のレベルを資格で量産する意義があるとは思えない。資格で得られる程度のセキュリティ知識ならば、徳丸浩の本(最新刊)を推薦書にして購入させるだけで良い
若手であるならCTFの経験者でも良いのだが、世界や学問で競争をさせて腕を上げるのが堅実な人材育成というもの ■ このスレッドは過去ログ倉庫に格納されています
