  |
はてなキーワード: 情報セキュリティスペシャリストとは
サラリーマンとして期待される動きが出来るか?以外、誰も求めてないし期待してないよ
アメリカの大学院卒でトライリンガルみたいなの見て、あばばばばばばばばば
やっぱCSくらいは取らないといけない流れかこれはと思った矢先に
その辺の道端を歩いている素人の方を捕獲してやらした方がマシなレベルがウヨウヨいるのが日本のIT業界なので
圧倒的な言語アドバンテージがある英語圏ですらExcel仕事術(ドヤ)なんだ
Excel仕事術レベルのPCスキルですら持っているのは全人類のごくごく少数なんだ
次に、Excel仕事術レベルでもそうなんだから仮にもIT屋を名乗るレベルの技術を持った人材が
余ってるわけねぇでしょ?なのですわ
実際、事務屋に毛が生えたレベルのワイですら仕事に困った事ないし
ただ事務屋に毛が生えたレベルであれば本気を出せば誰でもなんとか出来るレベルではあるよね?
もっとも、基本情報 とか 情報セキュリティスペシャリスト とか
CCNA とか MCP とか Java とか ORACLE master とか 取れと命令される(あるいは察して入社前に取る) のに
その範囲を微塵も理解していない SIer の人間はゴロゴロ存在するのが現実だったりするのだけど、
テスト(ペーパー)だけ突破して全て忘れ去る技でも持ってるの?が現実だったりするわけだけど、
少なくとも高度な数学も要求されなければ最新の研究が論文がどうたらとかいうヤツでもない
圧倒的な言語アドバンテージがある英語圏ですらExcel仕事術(ドヤ)なんだ
Excel仕事術レベルのPCスキルですら持っているのは全人類のごくごく少数なんだ
次に、Excel仕事術レベルでもそうなんだから仮にもIT屋を名乗るレベルの技術を持った人材が
余ってるわけねぇでしょ?なのですわ
実際、事務屋に毛が生えたレベルのワイですら仕事に困った事ないし
ただ事務屋に毛が生えたレベルであれば本気を出せば誰でもなんとか出来るレベルではあるよね?
もっとも、基本情報 とか 情報セキュリティスペシャリスト とか
CCNA とか MCP とか Java とか ORACLE master とか 取れと命令される(あるいは察して入社前に取る) のに
その範囲を微塵も理解していない SIer の人間はゴロゴロ存在するのが現実だったりするのだけど、
テスト(ペーパー)だけ突破して全て忘れ去る技でも持ってるの?が現実だったりするわけだけど、
少なくとも高度な数学も要求されなければ最新の研究が論文がどうたらとかいうヤツでもない
ネットワークスペシャリストと情報セキュリティスペシャリスト取って
それぞれで10万ずつ、プラス毎月の手当で2万もらってたなぁ。
金のためというか単純な知識欲で取っただけなんだが。
流れるまま何となくサバイブしてきた中途採用組 や 中小のIT屋さんは これといった研修を受ける事は入社時よりほぼゼロだけど、
そこそこの会社に新卒で入社すると、ひと通りの研修を受けた上で、基本情報 とか 情報セキュリティスペシャリスト とか CCNA とか MCP とか Java とか ORACLE Master とか 取れと命令される(あるいは察して入社前に取る) と思うのよね
だけど、とったはずの資格の範囲の内容をカケラも微塵も理解していないSIの方々って普通にいくらでもいるのよね
合格しながら微塵も記憶に残らないとか、脳内でいったいナニが起こっているのかものすごく気になるが、
世の中には試験は得意だが内容を理解/活用する事が出来ない人がいる現実を間近で見ていると
据え置きゲームにおいては「戦国無双」のパクリとの誹りを免れない「戦国BASARA」だが、
「戦国BASARA バトルパーティ」でスマートフォンというプラットフォームに移り、「戦国無双」のパクリからようやく脱却した
では「戦国BASARA バトルパーティ」がどういったゲームかと言えば、
今作には、ギルド内でレイドボスを倒す「討伐隊」というコンテンツが存在する
「討伐隊」で倒したレイドボスからは一度だけ報酬を受け取れるが、
それが何故か7月15日午前0時頃より、報酬を無限に受け取る事ができるというバグが発生
討伐報酬の中にはゲーム内通貨の他に、無償石(赤宝玉)や武将ガチャを回せるチケットも存在した
当然、運営は黙って見る事はなく、同日午前1時前頃よりメンテナンスに突入した
だが、六時間近くに渡るメンテナンスの結果はロールバックでも回収でもなく、
バグを潰しただけであった
「バグの産物には一切手をつけないでね!」という注意だけがされるようになった
【お知らせ】
臨時メンテナンスにて対応を行なった「討伐隊の報酬を繰り返し受け取れてしまう」不具合についてお知らせいたします。
本不具合により繰り返し入手してしまったアイテム/小判につきまして、後日運営にて対応を行なわせていただきますので、使用しないようお願いいたします。#バトパ— 戦国BASARA バトルパーティー公式 (@basara_bp) 2019年7月15日
現在運用中のシステムに、ガチャチケットを増産できるバグが発生した
その間に一部のユーザはバグを利用して不正にガチャチケットを増産した
果たして、その一部のユーザが善人であると信じて「そのチケット使わないでね!」と忠告しただけでおしまいにするだろうか?
というか正規なチケットと不正なチケットが混じってるままメンテナンス終了してチケット使われたら履歴辿るの死ぬほど面倒くさくない?
メンテ伸ばしてその一時間の間にログインしたユーザ洗い出して、資産の多い順にソートして怪しいやつをピックアップして精査してBANした方がよくなくない?
このネットワーク社会で今どき性悪説を採用してないとか情報セキュリティスペシャリスト取ってないクソド底辺ドカタプログラマじゃない? おーん?
(ちなみに自分は情報セキュリティスペシャリスト2回落ちた)
かくして、15日の一夜を越した「戦国BASARA バトルパーティ」には、
一部の不正☆7武将パーティと、極一握りの虎王信長廃課金パーティが殴り合うプロレス会場となり、
正直者と健康的な生活の者と虎穴ダッシュ勢が馬鹿を見る結果となった
ぼかぁ筋肉ムキムキで髪がボサボサでお見合い経験すらないKKO(黒田/官兵衛の/おっさん)が実装されてなかったらマジになってなかったと思うよ
新卒で入社したA社は、親会社B社のシステムの内製と、B社の顧客層向けのパッケージソフトウェアを制作販売するソフトウェアハウスだった。
入社1年目の自分は、いくつかの細かい業務を平行して担当することになったが、その中にホームページの管理があった。主な業務は、ページの文章の更新と確認、誤字脱字の修正、古く間違ったHTMLの修正など。
会社のホームページには自社のサービスや製品だけを扱う小さなショッピングシステムがあり、ユーザ登録・ログイン・購入・履歴確認など一通りの機能を持っていた。このシステムを改修したり更新したりする予定はなかったが、せっかく担当となったわけだし、以前から興味のあったWebアプリケーションのセキュリティを勉強しようと、徳丸本を購入した。(当時は紙の本しかなかった)
http://tatsu-zine.com/books/sbcr-taiketekinimanabu
この本は説明不要の名著で、平易な文章で細かく正確な記述がなされている。Webアプリケーション制作に携わる新人プログラマは必読だ。
頭から読み進める。1章に用語の整理があるおかげでだいぶ理解しやすい。2章の実習環境の用意は、都合がつかず読み飛ばした。3章は流し読みし、いよいよ4章。様々な脆弱性を個別にとり挙げ、原因と対策について具体的な説明がされており、非常に興味深い。
なるほど、XSS(クロスサイト・スクリプティング)という言葉は知っていたが、具体的にこういうものなのだな。入力ボックスに入力した内容が遷移後のページに表示されるというUIはよくあるから、気をつけなければ……そういえば、会社のホームページにも検索機能があって、「検索ワード:○○」と表示されるところがあったな。あれもXSS対策がされているはずだ。どれ、見てみよう。テスト用サーバで画面を表示して、<script>alert(1)</script>(本当は半角)と入力……
検索ワード: +----------------+ | | | 1 | | [ OK ] | +----------------+
なるほどこれがXSSか。実習環境の用意はしなかったが、実物を拝むことができたぞ。脆弱性の修正の実習もできるな。
このようにして、徳丸本を読み進め、(テスト用サーバで)攻撃を実践しながら、脆弱性を直していった。覚えている限りでは、以下の実習ができた:
ショッピングシステムの中身が、フレームワークやライブラリなし・SQL発行共通関数なし・オブジェクト指向なし・数万行の巨大ファイル1つであることを知ったのは、脆弱性の修正にとりかかってからだった。その他のシステムもすべてこのショッピングシステムを参考に作られているらしく、プレースホルダもエスケープもない文字列組み立てSQL発行があらゆる場所に散乱していた。とても直し甲斐があるシステムであった。
これらのシステムは、日付zip以上のバージョン管理が行われていなかったため、該当部分を誰が書いたのかはわからなかった。そんな状況であったので、大量に報告された脆弱性の始末書は、すべて現在の担当である自分が書くことになった。
自分が入社するより前からあった、誰が作ったのかもわからない脆弱性を、探し修正し始末書を書いた。「私が担当になる前からあった脆弱性なので、原因はわかりません。おそらく不勉強が原因です。対策は、勉強会とコードレビューとバージョン管理です。」などと書いた。今思えば、"よい始末書"の書き方を勉強する機会を逃していたのかもしれない。
自分の作業はすべてgitで記録していたので、自分が担当になったときにはすでに脆弱性があったと主張したが、「自分だけバージョン管理などという便利なものを使っていてずるい」と怒られて終わった。(なお、それよりも前に社内でのバージョン管理ツールの使用は提言していたし、それが「よくわからないから」と却下されてからは、自分だけで使う許可は得ていた。)この経験から、バージョン管理をしていない、もしくはクソみたいな管理しかしていない組織内で、自分だけでも上手く管理する方法についての知見を得た。
こうして、徳丸本の内容を実践しながら学習できたので、セキュリティ分野についての興味はより高まり、知識も増え、A社に対する信頼はほとんど失われたので、さらに勉強し、3年目に入るころには情報セキュリティスペシャリスト試験に合格し、転職した。
Webサービスのセキュリティを勉強したいと思ったならば、徳丸本を読んで、実践しながら勉強することを強く推奨する。紙の本には実験用環境のCDもついているので、A社でホームページを担当していなくても、実践しながら勉強することが可能だ。(電子版の場合はどうなのだろうか。申し訳ないが各自確認していただきたい。)
オフ会いったらショック受けた。
そこにいた一番優秀な彼はこんな経歴↓
大学3年生21歳 CCNP合格。ネットワークスペシャリスト合格
大学4年生22歳 情報セキュリティスペシャリスト合格 ←今ココ
1年の冬以降は常に何かしらのインターン・勉強会に参加してるらしい
で、おいらは↓
プー太郎 20歳 特に無し
大学1年生 21歳 特に無し
大学2年生 22歳 特に無し
大学3年生 23歳 基本情報技術者,CCNA,LPICレベル1
大学4年生 24歳 特に無し ←今ココ
経歴もスゲーけど話してて頭いいのが分る。
回転が早いんだろなー。あと人脈が半端ない。
つーかこういう人が大手にはゴロゴロいることにショック。
そんな奴等は一握りだから気にしなくても大丈夫…
そう思いたかったが、現実はそうでもないらしい。
何か嫌になった。
実務経験の量とかコミュニケーション能力とか凄く不安になってきた。
自分の経歴なんて独学でペーパーだし、対人恐怖症気味。
よく転職本にIT業界はあらゆる人を受け入れるみたいなこと書いてあるけど、
真面目にITの勉強をやってきた人もかなりの数いるわけで、
途中から始めた奴なんて、所詮使い捨ての末席しか残されてないようだ。
