2024年秋に行われたIPA主催の情報処理試験で、見事応用情報技術者試験に合格しました。
その際、選択した分野別に、資格試験を通して学んだ技術的な内容の記事をこれから投稿していきたいと思います。
選択した分野
・情報セキュリティ ← 今回の記事の内容
・ネットワーク
・データベース
・組込みシステム開発
・情報システム開発
今回は、応用情報技術者試験の分野の一つである、情報セキュリティの勉強を通して、今後の作業に役に立ちそうな技術を簡単に紹介します。
私は主にWeb開発をやっているので、今回は、Webセキュリティについて紹介します。
Webセキュリティを題材とした問題で、頻繁に出てきた単語が、WAF(Web Application Firewall)でした。これはWebアプリケーションに対するアクセスを監視し、不正な操作を遮断するというIT機器です。また、この機器はサニタイジング機能を有しており、SQLインジェクションやクロスサイトスクリプティングなどのような入力フォームに不正なプログラムを入力する攻撃を検知して遮断するという優れものです。もう少し中身について説明していきます。このWAFの検知の材料として使われているものは、シグネチャ(不正な通信、不正な攻撃パターンをまとめた定義ファイル)というものです。シグネチャにはブラックリスト方式とホワイトリスト方式というものがあります。ブラックリスト方式は許してはいけない通信やプログラムを定義します。ホワイトリスト方式はその逆で、許可する通信やプログラムを定義します。一般的におすすめなのはホワイトリスト方式です。ブラックリスト方式は、許可したくない通信が増えるたびに更新しなくてはいけませんが、ホワイトリスト方式は、定義した通信やプログラム以外は全て遮断してくれるので、運用上セキュリティ管理が容易で安全性が高いのはホワイトリスト方式の方です。
まとめ
年々サイバー攻撃の件数は増加の一途をたどっています。そんな中、セキュリティを生業としたエンジニアになれればとてもかっこいいと思いました。応用情報技術者試験では、自分や会社を守る術を覚えましたが、次は、情報処理安全確保支援士試験に挑戦して、セキュリティを生業として仕事をできる人材になりたいと思います。