Pages

Nov 30, 2004

雑記 of 2004/11/29

今日はネタが多いのでダラダラと書いてみる。
koders.gif
1:http://www.koders.com/
百式で知った。様々なOpenSourceプロジェクトのコードを検索できる。よく分からないけど便利そうだ。
自分の場合書きかけのコードが家のノート、家のデスクトップ、会社のノート、会社のデスクトップに分散しており「あれ?ここ昔どうやって書いたっけ?」というケースが結構あります。プライベートkoders見たいなのがあればいいなと思う次第。
(自分でCSVサーバを立てる程ではないし。全部GMAILに送ってみるというのはどうだろう?)
2:MOM2005 「SQL Server の管理パックを分析してみよう」
かなり便利そうだ。後でゆっくり勉強させてもらいます。
3:セキュリティを学ぶ
CISSPからちょっと目先を変えて、GSECという資格を取得された方のブログ。GSECを全く知らなかったので、勉強になりました。さりげなく文章が上手で読みやすい。文書くのってどうやったら上手になるんでしょうか?
4:SQL Server Reporting Services Demonstrationサイト
マイクロソフトはSQL Serverの"Reporting Services"に相当お金を使って、本気で売り込もうとしている。
とうとう専用デモサイトまで出来たようだ。
上のURLからいくつかデモに触れられる。。
RSはずっと興味をもってチェックしてはいるんだけど、レポートサーバを立ち上げたり、VisualStudioインストールしたり結構立ち上げが面倒そうで二の足を踏んでいる。
仕掛けが大掛かりな割にRSでないと出来ないことというのが見えないというのも一因。
少なくとも自分に必要な「小規模な」レポートにはPerlとGDの方が小回りがきいて楽ですわ。
こんな時デモサイトで「凄い!こんなことができるのか!」というサプライズを用意してくれると飛び込む勇気が出るんだけどなぁ〜
こんな感じだと技術に疎い経理部の人を説得するのも楽なのに。
LITESPEED.gif
5:litespeedキャンペーン特価
前にとりあげたLiteSpeedに関して。いよいよ本格的な販促が始まったらしい。キーマンズネットで案内がきた。
クリスマスまでの限定キャンペーンをしていて3割引くらいでライセンスが買える。これはお得ですよ。
キーマンズネットに出稿しているのが日本での販売を行っている日揮情報でなくてMSなのはなぜ?
6:カオスだもんね 12巻
最近週刊アスキー買ってないけど、この漫画は相変わらず面白い。
カオスだもんね! (12)
水口 幸広

アスキー
2004-11
売り上げランキング 626

Amazonで詳しく見る
by G-Tools

7:母親のPCが起動しなくなる。
状況としては「スイッチ入れると、DelとF1どっちかを押してくださいという画面になる」との事。それじゃ全然わからないよ。。。
今週末は実家に無償オンサイトサポートの予感。「新幹線代は出すわ」ってそれは当たり前なのでは?
半年地道にエクセルに入力してきたデータが使い物にならなくなったらしく、そんな母親の心境を慮ると無下に「あきらめろ」という訳にもいかず。ダメなら諦めるしかないけど、やれるだけの事をやってこようと思う次第。
8:Palmがないと・・・
とても不便だ。不便というよりも落ち着かない感じがする。奥さんに逃げられた男の心境がちょっとだけわかるかも。
『頼む。。。早く帰ってきてくれ。』そんな心境。

Nov 29, 2004

CISSP 試験の難易度

テキストの練習問題を使って実際に問題を解き始めると、"CISSP Prep Guide"の練習問題が思っていたよりも簡単な事に気づきます。そして以下のような新たな疑問が生じるわけです。
Q1:本番の問題の難易度はどんな感じなのか?
Q2:何割得点すれば合格できるのか?

というわけでちょっと調べてみました。
「Q1:本番の問題の難易度はどんな感じなのか?」
もちろん受験経験の無い私には未知の領域です。というわけでCCCUREのメーリングリストを漁ってみました。
KevinさんというCISSPホルダーは以下の様にポストしています。
「www.cccure.orgの練習問題のProレベルのものを解き、8割から9割コンスタントに得点できるのであれば受けてみてもいいと思う。」
「他のテスト問題はCISSPの本番試験と比較して簡単すぎる。」
なるほど。あくまで一人のホルダーの意見なので信憑性どうこうは抜きですが、具体的に数値が提示されていて分かりやすいですね。
「Q2:何割得点できれば合格できるのか?」
これについては(ISC)2のFAQに答えがあります。
"The passing grade required is a scale score of 700 out of a possible 1000 points on the grading scale."
7割です。しかしその7割というのはどうも素点の話ではなく、問題の難易度の違いを吸収するために数値の調整をした後の値です。
1995年以降CISSPの合格率はほぼ一定で推移しているそうで、そこからも「相対的に高得点する必要があり、問題が簡単なら合格点が上がるだけ」という事が言えると思います。
一概に何割得点したら合格という計算はできません。
個人的に1月受験か3月受験か迷っているところなのでKevin式「www.cccure.orgの練習問題Proレベルを解き、8割から9割」というのを決断の基準としようと思いました。
2004/11/29 追記
CISSP試験の合格率については(ISC)2のサイトに「公開していない」と明記されています。ただし、上にも書いたとおり、合格率は一定でCISSP試験が一定の難易度をキープしていることは間違いないです。
個人的には合格率は悪くても70%くらいではないのかと予想しています。根拠は
・受験料が高いので(自腹を切るにしろ、社費で受けるにしろ)受験者は準備をそれなりにしてくるはず。
・受験者の要件に「4年の業務経験が必要」と謳っているため素人が紛れ込む余地が無い。
・(ISC)2主催のセミナーを受けた人の合格率は「それなりに高く」ないとセミナーにお金を出す意味が無い。
3番目は特に下衆の勘ぐりって奴かもしれませんが。
六万八千円の受験料を2度払えますか?私は無理です。
#以上"CISSP 合格率"を検索して当ページに辿り着いた方がいらっしゃったので加筆しました。

CISSP my 勉強法 ( 2004/11/28)

テキストや問題集を使った勉強を始めて約2週間が経ちました。
今している勉強とその進捗について整理したいと思います。
ノート作り:(進捗100%)
1、cccure.orgで配布しているCISSP_summury_2002.zipの中身から必要なページだけを印刷した。(30ページくらい。苦手な分野は手厚くカバーしてます。)
2、A4ノートの見開き左側にそのページを貼り付け
3、右側のスペースは書き込み用です。
↓こんな感じになります。
notebook.jpg
ノートを作るのは自分史上初の試みです。
本来こういう几帳面な作業は誰よりも苦手で、ノートを作るよりもテキストに直接ガリガリ書き込んでいくのが好きなんです。
ただ今回はたまたま翻訳家を目指して勉強している友達のノートを見せてもらう機会があり、それがこんな感じでとても見やすかったので真似してみました。
今まで経験が無かったのですが、やってみるとノートを作るのってちょっと楽しいですね。勉強の目的を忘れそうになる位、ノート作成に心血を注いでいた同級生の気持ちがちょっとわかった気がします。
それから"the CISSP Prep Guide Gold Edition"は鈍器級の厚さと重さで持ち運び不可なので、ノートに要点をまとめて持ち歩く事で電車の中などの無駄な時間を活かせます。
ひたすら問題解く:(進捗5%)
1、"the CISSP Prep Guide Gold Edition"の付録のCD-ROMをPCにインストールし問題を解く。(360問の問題が含まれています。内容は本に掲載されているテスト問題と全く同じ内容)
2、間違えた問題についてテキストで内容を確認。
3、ノートに気づいた事を書き込みます。
単語帳作成:(進捗3%)
(テキストを読むと必ず分からない単語に遭遇するので)辞書で意味を確認。辞書はPC上で動作するもので検索の履歴が残るので、試験が近づいてきたら検索履歴を元に単語帳を作成予定です。
CISSPに限定すれば、そこまで厳密に単語にこだわる必要がない気がします。ただCISSPの勉強を通して語彙力を多少なりともアップして、TOEICや仕事に生かしたいので今回はしっかり履歴を残してみます。
これもはじめての試み。
情報収集:(進捗3%)
引き続き試験そのものにかかわる情報を主にインターネットで収集中。CCCUREのメーリングリストのログなんかもちょっとづつ読んでいます。
同僚にCISSPホルダーが複数いるという、比較的恵まれた状況なのでホルダーに直接色々聞きたいのは山々ですが。。。
「え?受けるの?いつ?」とか聞かれてプレッシャーかかるのが嫌なので、もうちょっと計画が具体的になってからアドバイスをお願いしようと思ってます。
実際に勉強に割いている時間は
・平日が30分程(電車の中でノートを読むだけ)
・休日1〜2時間(問題解いている事が多い)
時間をもっとうまく使わないとこれ以上時間をかけられないかも。
もちろん私は一志願者にすぎないわけで、上に書いたことは「私はこんなアプローチをしてます」という1つの例です。このエントリーが呼び水となって「こうしたら?」「そのやり方はおかしい!」「私はこうした。」等のコメントを頂ければ最高に嬉しいです。
(CISSPで検索してこのサイトに辿り着く方も多いようなので)

Nov 26, 2004

バーチャルバーテンダー

beercom.jpg
beer.comの"バーチャルバーテンダー"
下の四角にコマンドを打つとお姉さんがその通りの動作をするというシロモノ。(昔こういうので鳥人間があったな)
とっても大人向け。
考え出すときりがないんですが"shower"とか「何故スポンサーがこれを許可したのか?」不思議で不思議でしょうがない。
とりあえず発見したコマンドを全て書いておきます。
beer
tap
kiss
get naked
be sexy
fight
lay down もしくは sleep
kick もしくは guy
shake
look,read
throw
fuck
shoot
hold
jump,bounce
sing もしくは rap
call
rip
I love you
show
dog
arm
shower
banana

Palmが壊れた。。。

th55white.jpg
今年の7月に購入したPalm(CLIE TH55)が壊れた。写真の通り画面が常に真っ白。電源切れない。ソフトウェアリセットできない。
押せばピコピコ音が鳴るので、液晶周りの故障なのかなぁ?
とにかく困る、すげー困る。
最初はPalmOSのファイルシステムやジョブ管理が理解不能で、一抹の「気持ち悪さ」を感じつつも無理やり使っていたのですが
最近はこっちの世界に大分そまってきて、着々とカスタマイズに励んでいたところです。
Palmは購入時の予想以上に活躍していて、仕事のスケジュール・ToDo機能はいまや私の中で生活必需品レベルです。
それだけに壊れてスケジュール確認できないのは困ります。
しかも年末の忙しい時期に。
とりあえず明日修理窓口に電話します。
半年前、「所詮PDAなんてオモチャでしょ」と考えていた自分が半年でここまでPalmに依存しているとは・・・
Palmって凄いのかも。

Nov 25, 2004

悩みどころ

CISSPの試験日を2005/1/23にするか2005/3/13にするか迷っていたのですが、、、
今日事務局からメールが来て
「1/23の試験を受ける場合には2004/12/17までに申し込みと入金をして下さい」
「そっそんな、どっちかを選ぶなんて俺にはできない・・・3人で楽しく暮らそう!」
・・・繰り返しときます
「1/23の試験を受ける場合には2004/12/17までに申し込みと入金をして下さい」
今日から数えると試験まであと2ヶ月、試験勉強は間に合うんでしょうか?
再確認ですがもともと私の基本スタンスは「無理しない」・「リスクが少しでも残っていたら3月に延ばす」です。
とりあえず結論を出すのは12月中旬まで先送りです。
追記:
Webをみていると一部に「ISC2JAPANの事務手続きがアバウト」という意見がありました。今のところ来るべき案内がタイミングよく届いており事務局の対応にストレスを感じた事はありません。

Nov 21, 2004

ワッペンコレクション

興味が無い人にはまったく何の意味もない、自分が自慢したいのでワッペン自慢エントリーです。
(まぁブログ自体が自己満足の世界ですから。)
ヤフーオークションでも一部出回っているようですが、ボーイスカウトのワッペンはそんなもんじゃないぜ!という気持ちを込めて、以下手持ちの中からいくつか紹介します。
『宝物』
Snake Council
まず一番目は年代が古いわけでもなく、発行枚数が少ないわけでもない、歴史的価値は殆どないといっていいワッペンです。
が、蛇のイラストがとても綺麗で、水色と黒という難しい配色も見事に決まっています。このデザインが「ツボ」で自分の持っているワッペンの中で一番のお気に入りです。
『絨毯』
絨毯?
写真では分かりにくいですが、普通のワッペンとは製法がおおきく異なっています。
日本のボーイスカウトワッペンは織が主流なのですが、このワッペンは絨毯の様な生地の上から刺繍をしています。
『色見本のよう』
虹?
使っている色数が多くて、とても綺麗です。
『イーグルスカウト』
eagle.jpg
分かる人には分かる、価値のあるワッペンです。アメリカ人のスカウトとユニフォーム毎交換した時のもの。
後生大事にとっておいても意味が無いので今回のジーンズ修理にこの辺のワッペンを使いたいと思います。
残りのコレクションは・・・今現役でボーイスカウト活動をしている人に差し上げるのが、一番正しい方法でしょうね。
次に実家に帰るときにお世話になった隊長に渡そうと思います。

ジーンズの修理

穴あき
気に入ってたジーンズの右ひざに穴があいちゃいました。指がちょうど入るくらいの。
まだ1年ちょっとしか履いていないのに。。。
捨てようと思ったのですが、「21世紀は環境の時代」。これを再利用する方法を検討します。
オプションはいくつかあります。
1、ジーンズ修理を専門とする業者に依頼。
→穴が開いていたのが分からなくなるほど綺麗に直るようです。
→参考(http://www.indigojp.com/reform.htm
2、開き直って穴を拡張。穴あきジーンズとして第2の人生を送る。
→かっこいい穴を空けるセンスがないので、死ぬほど勇気のいる選択です。
3、ワッペンを貼る。
→貧乏臭い解決策ですが、やってみてダメなら外せばいいわけで、やり直しがきく点が魅力です。
ここまで考えて思い出したのですが、何を隠そう私、中学から熱心にボーイスカウト活動に取り組んでいました。
高校の頃には周りを見渡しても並ぶものがいないくらいのボーイスカウトグッズのコレクターになっていたのです。
その後、ボーイスカウトから遠ざかり、ボーイスカウトグッズ(含むワッペン)は押入れの奥深くにねむっていました。
ワッペンの群れ
「このワッペンを有効利用するには絶好の機会!!!」
というわけで今回は
1)ワッペンを使って穴を隠し
2)かつ膝のワッペンが穴を隠している事を悟られないようジーンズ全体にワッペンをはりカモフラージュ
3)さらに1と2の作業を通してジーンズを「かっこよく」する
以上3つの目標を設けました。
ワッペンは少なくとも200枚以上あって、この中から数枚を選び、かっこいい配置を考えるのはなかなか骨の折れる作業になりそうな予感がします。
ファッションにはとことん疎いので、「ワッペンつきのジーンズって今時どうなの?」っていう点がそもそも不明ですが。
頑張ります。

CISSP アンケート「どのドメインが一番難しかったか?」

vote_cisspcat.jpg
cccure.orgで「どのドメインが一番難しかったか?」というアンケートをしています。
URL:(http://www.cccure.org/modules.php?name=Surveys&pollID=23
本日時点の結果が上のグラフです。
難しいTOP3
・Cryptography
・Laws & Ethics
・Telecomm

同僚(彼はCISSPホルダー)から「CryptographyとLawはちゃんと勉強しないと絶対落ちるよ」と
脅されましたが、他のホルダーの皆さんも同じ印象を持っているようです。
特にCryptographyは2位を大きく引き離しダントツの1位です。
易しいTOP3
・Operations Security
・Physical Security
・Security Management

こちらは全く私の印象と同じです。
回答数265ですので、そこそこ信頼できる情報と考えています。
そして自分自信が最初に全体に目を通したときの第一印象とアンケートの結果が
非常に似ている事に安心しました。
「ホッ、やっぱりみんなCryptographyは難しいと思うんだ。」と。
英語を母国語としないCISSPの方限定で同じアンケートをしたらSecurity Architectureがもっと
上位(難しい部類)に入ると思います。
何れにせよ興味深いアンケートなので今後も定期的にチェックするつもりです。

Nov 17, 2004

CISSP つまりこういう事

CISSP取得に必要とされる職務経験について、調べると色々なところで微妙に説明の内容が異なっていたので、ここにまとめます。
"職務経験"の定義についてはこちらを。(必読です)
受験する為に必要な条件:
受験するための条件も公表されているが、ISC2アソシエイトプログラムの存在がそれを有名無実化
実質制限無し、誰でも受験可能。
認定を受けるのに必要な業務経験:
学士取得者:3年
指定された教育機関で学士と修士を取得した者:2年
上記以外:4年
・指定大学はアメリカ・イギリスのみ。(基準が全く分からないです)
・ISC2 JAPANのサイトに(10ドメイン関連学部の大卒者)とあるが実際のところ学士号であれば専攻は問わない。

Visual Studio 2005 エディタの隠し機能

vsline.jpg
prog-blogさんのVisual Studio 2005 エディタの隠し機能 を読んでVS編集画面に縦線をいれてみました。
手順はMSでVSのテスターをされている方のブログのこの記事にあります。
上の写真がその結果です。Guidesの値には"RBG(128,0,0) 5, 45, 85"を設定しています。
ごらん頂ければ分かる通り地味な機能です。
ホイールでスクロールさせるときなど縦線が数本あるだけで確認が楽になりそうな気もするので、しばらくこの状態で使ってみようと思います。

Nov 16, 2004

CISSP準会員

k010812.jpg
写真は本文とは殆ど関係ありません。(わずかな共通点は「背伸び」?)
1、はじめに
以前のブログにも書きましたが私が仕事でセキュリティにかかわるようになってから今日で2年7ヶ月。
たとえば明日CISSPの試験があって、万が一受かったとしても、CISSPにはなれないのです。
ペーパーテストで合格したものの、経験が足りない場合(ISC)2 アソシエイトという
認定でも資格でもないとても中途半端なステータスが与えられます。
今日はその(ISC)2 アソシエイトについてちょっと調べてみました。
公式サイトのFAQの日本語訳を載せました。私同様若僧の分際でCISSPに挑もうという方の
お役に立てれば光栄です。
結論から言うと(ISC)2 アソシエイトは英検の1次試験免除と同じくらい中途半端です。
2、日本語サイトでの説明
https://www.isc2.org/japan/precondition.html
まずISC2日本語サイトには以下の様な説明があります。
CISSP準会員:
CBK10ドメインにおける最低4年間の「プロフェッショナルとしての」経験が無い方も受験は可能です。
その場合は、CISSP準会員として登録されます。
経験月数が48ヶ月を超えた後に、正式にCISSPとして認定されます。

4年の経験が無い人向けの救済措置として"CISSP準会員"という区分があるよという
事しかわかりません。
3、公式サイトFAQの和訳
https://www.isc2.org/cgi-bin/content.cgi?page=8#cat07
私の英訳の精度はSMAP中居君のリズム感と同等かそれ以下です。
その辺ご理解のほどを。

Q: "(ISC)2 アソシエイト" プログラムとは? このプログラムが誕生した理由。
A: (ISC)2 アソシエイトプログラムとはCISSPもしくはSSCPに必要とされる業務経験をつんでいる段階の情報セキュリティのプロフェッショナル向けの仕組みです。 (ISC)2 アソシエイトプログラムとはそれら対象となる人物と(ISC)2との結びつきを高め、彼らの情報セキュリティに関するキャリアの早い段階からキャリアに関するサポートを提供する事を目的とします。(ISC)2 アソシエイトプログラムにより情報セキュリティのプロフェッショナル達の抱える必要性を生めるために生まれたのです。
背景:(長いのでパス。)
Q: アソシエイトプログラムへの参加方法
A: 受験者はCISSPもしくはSSCPの試験に合格すると自動的に(ISC)2 アソシエイトとなります。必要とされる業務経験をクリアしていない状態で試験を受ける方も同様です。試験の願書に
(1) complete all the information requested including executing the agreement subscribing to the Code of Ethics,
(2) 業務経験の概要
(3) 必要とされる業務経験を完遂できる期日の見込みを記入します(CISSPは4年、SSCP1年)
(4) 料金を支払います
以上を行った受験者には試験を受けるための受験書類が送付されます。
Q: (ISC)2 アソシエイトの保持者はどのようにCISSP、SSCPとして正式認定されますか?
A: 試験合格後、受験者には"(ISC)2 アソシエイト"として認められた旨のレターが発行されます。CISSPは4年、SSCPは1年各々の資格に必要とされる業務経験を積んだ段階で(ISC)2に連絡をしてください。[電話番号:(888) 333-4458]
(ISC)2 は試験応募時の見込み期日に確認の連絡を行います。 しかし期日を覚えて、残りの手続きを行う責任は(ISC)2 アソシエイトにあります。その際(ISC)2 アソシエイトはエンドースメントを送付してください。これはWebサイトからダウンロード可能です。エンドースメントフォーム中の指示に従い(分からないので略)、フォームを記入し(ISC)2 へ提出してください。
エンドースメントフォームが正しく記入されていることを(ISC)2 が確認すると(ISC)2 アソシエイトに対しCISSP、SSCPの認定証が発行されます。CISSP・SSCPを名乗ることが出来るのはこの時からです。
それ以前の(ISC)2 アソシエイトはCISSPでもSSCPでもありません。したがってCISSP、SSCPでの必要とされる経験を積み、認定証が発行されるまでCISSP、SSCPを名乗ることはできません。
Q: (ISC)2 アソシエイトの資格は何年間有効ですか?
A: CISSPの(ISC)2 アソシエイト資格は合格通知の発効日から起算して5年間有効です。その5年の内にプロフェッショナルとしての経験をし、エンドースメントを提出することでCISSPとして認定されます。SSCPの場合、(ISC)2 アソシエイト資格は合格通知の発効日から起算して2年間有効です。
Q: (ISC)2 アソシエイト継続の手数料は?
A: (ISC)2 アソシエイトの資格を継続するために、年間35ドルの年間維持手数料(AMF)を支払う必要があります。(ISC)2 アソシエイトとして認定された日から1年ごとに(ISC)2から手数料の請求があります。
Q: (ISC)2 アソシエイトもCPE取得の必要がありますか?
A: (ISC)2 アソシエイトは"認定"ではありません。したがって(ISC)2 アソシエイトの資格キープのためにCPEを取得する必要ありません。
4、まとめ
日本語サイトの説明が不十分なため公式サイトのFAQをあたったわけですが。。。
まず分かったのは(ISC)2 が用意しているのは(ISC)2 ASSOCIATE という名称で
それを(ISC)2 JAPANが「CISSP準会員」と訳している事です。
英語のFAQでは『CISSP≠(ISC)2 ASSOCIATE』という点を強調しているのですが、その点について触れない
どころか(ISC)2 ASSOCIATEを「CISSP準会員」と訳すのはいくらなんでもミスリーディングだという印象を
受けます。
(ISC)2 ASSOCIATEは認定の権威を落とさずに、間口を広くするためのしごくまっとうな試みだと思います。
(自分自身この制度がなければ受験できないです。)
5、さいごに
「CISSP準会員」制度に感謝しつつも、維持手数料を支払う必要等を考えると「CISSP準会員」自体にメリットは
無いです。
他の資格と比較してCISSPの業務経験に関する要求は明らかに高度です。
それは「ISC2が期待するCISSPの人物像のあらわれ」であり、そして何れ「一般社会がCISSPに期待するもの」に
なるのでしょう。
私を含めこの制度を利用して受験しようとする人間は、「CISSPには相応の業務経験が求められている」事を
理解したうえで「その経験が不十分な段階で受験する事の必要性」を熟慮する必要がありますね。

Nov 15, 2004

ピカピカのJR乗車券(JAPAN RAIL PASS)

japanrailpass.jpg
一月ほど前カナダから友達が遊びに来たときのこと、みんなで電車に乗ろうとしたら
彼はバッグからおもむろに銀色に光るパスポートの様なものをとりだし、それを駅員に見せて改札を通るではないですか。
「なにそれ?ジャパンレールパス?」
と思って撮らせてもらったのが上の写真。
大きさはちょうど日本のパスポートと同じくらいで2つ折になっています。
中には↓の通り、使用者の名前・パスポート番号・有効期限が記載されています。
japanrailpass-inside.jpg
JRの"JAPAN RAIL PASS 公式サイト"によると・・・
ジャパンレールパスは外国から日本を観光目的で訪れる方のみが購入できる特別企画乗車券です。
外国人観光客専用で、しかも国内では販売してないそうです。
料金は色々ですが、7日間有効なタイプを例にとると
新幹線(のぞみを除く)もバスもフェリーも乗り放題でお値段たったの28,300円。
安い、安すぎるぞJR!
そして注目すべきはゴージャスな乗車券のデザインです。
外国人はよろこぶんだろうな〜。
旅をしているときに乗り物の切符のデザインが凝ってると無意味に嬉しくなり、ぺらぺらの紙だと
ちょっと損した気分になりませんか?。
自分の見た中で一番手の込んだ切符を「日本の会社JR」が発行しているという事を
日本人として少し誇らしく感じました。

Nov 13, 2004

GMTとUTCは別物

奥様ご存知?
「GMTとUTCは別物」なんですって!
世界標準として使用されている標準時はUTCだそうで。
全く同じものだと思っていて、本来UTCと書くべき所をGMTにしてしまった事が
何度もありました。後の祭りですけど。今後は気をつけようと思いました。
それから時計つながりで最近びっくりしたのは腕時計タイプの電波時計が充実してきている事。
昔はアテッサしかなかったと記憶してますが
Yahoo! ショッピング - 電波時計でライフスタイルを進化させる
ちょっと欲しいです。特にカシオのオシアナスというのが今までの電波時計のイメージを覆すような
レベルの高いデザインに仕上がってます。
oceanus.jpg
実売価格3万か〜。。。
今使っている機械式も味があって好きですが、日差数秒はあたりまえです。
日差数秒は日常生活では全く問題ないです。
が、しかし「この時計は結構ずれるから」というのが頭に焼き付いていて、
正確に時間を知りしたいとき等についついPCの時計や
テレビの時計で再確認する癖がついちゃったんですよね。
腕時計が時間を知る為のアイテムとして機能していない・・・というトホホなお話でした。

Nov 10, 2004

『毎秒が生きるチャンス!』 ランス・アームストロング

毎秒が生きるチャンス! ナリッシュブックス
ランス・アームストロング

学習研究社
2004-09-29
売り上げランキング 130

Amazonで詳しく見る
by G-Tools

ランスへのチームと自転車競技への思い、癌患者への貢献そして家族への愛が
丁寧に書かれています。
書かれている内容の時期は2度目のツール制覇を果たした2000年から2003年末にかけて。
前作『ただマイヨ・ジョーヌのためでなく』では癌との闘病に焦点がおかれ
レースはおろか自転車すら殆ど登場しませんでしたが、近作は2003年までの
ツールについてランスが振り返ります。
・2000年ツールのパンターニぶち切れ事件
・2001年ツールの調子が悪い演技
等のツールの歴史にのこるエピソードをランスが語ってくれるのはこの本だけでしょう。
ツールの歴史には残りませんがランディスの登場シーンが多く、しかも描かれ方が
「問題児ランディスと熱血ランス先生」といった感じなのにはちょっとビックリ。
ランディスってそんなキャラだったんでしょうか?
USポスタルのチームの雰囲気についても色々な場面で伝わってきます。
チームバスの窓がスモークなのをいい事に、バスの中で尻丸出しするなど
ジョークのレベルはアメリカの田舎の中学生です(笑)
眉毛を八の字にして「やれやれ」と困ってるエラスの表情が見えるようです。
他の(有力選手を引き抜いて寄せ集めた)チームがホテルで食事をとったあと
みんなすぐに部屋に戻ってしまうのに対し、ポスタルはみんなその場の空気が
楽しいのでなんとなくテーブルに残って談笑するというエピソードはなんとなく
納得です。
その他にも・・・
・「奥さんが産気づいているのに抜き打ちドーピング検査」というエピソードに始まる
ドーピング疑惑との戦い
・子供自慢
・奥さん(前妻)自慢
ランスの子煩悩ぶりが伺えるエピソードが多いのも特徴。
「峠の下りをギリギリまで攻めようとすると家族の顔が浮かぶ」って・・・らしくないなぁ。
プロローグ・エピローグの表現が非常に匠で、読み物としてのレベルは前作からかなり上がっています。
作者は同じ人のようですので、訳者がいいのかもしれません。(実際自転車用語も違和感ないです。)
総じてレースファンの方にはお勧めです。ランスファンでなくとも絶対楽しめると思います。
これを読んでちょっとランスのファンになりました。
(単純すぎ?)

Nov 8, 2004

CISSP プチ模試

petiexam20041107.jpg
今日はCISSPの試験範囲を俯瞰する為に「プチ模試」をしてみました。
今週2日ほどテキスト"CISSP Prep Guide"を頭から読むという勉強をしていたのですが
遅々として進まず効率の悪さに焦りを感じました。
そこでとりあえず全体をサラッと流して、以下を確認することにしたのです。
・試験範囲を掴む。
・試験の雰囲気を掴む。
・自分が得意な/苦手なドメインをハッキリさせる。
・上の結果に基づき、勉強の計画を立てる。

具体的にはテキストの10ドメインの各章の解説の後ろにある練習問題から
それぞれ10問程度をといてみました。
答えあわせのあと、当初の目的、得意不得意を把握するため、正答率をドメインごとにパーセンテージに置き換え。
出題された問題を7割正答するというのが、公式に発表されているボーダーなので
ボーダーを青線、自分の正答率をオレンジで描いてみました。
その結果が冒頭のチャートです。
明らかに凹んでいる
・暗号
・アクセス制御
そして「まぐれ」で得点してしまったが実態はボロボロの
・セキュリティアーキテクチャ
このあたりがてこ入れ必要なドメインのようです。
以下に各ドメインの印象と独断で決める難易度をまとめてみました。
何かの参考になれば幸いです。
コメント・対策
---------------------------------------------------------------------------
情報セキュリティマネージメント
ここだけテスト問題挑戦が2度目。初見で無いので正当して当然。
このドメインと次の"エンタープライズ・セキュリティアーキテクチャ"は
セキュリティのいわば土台部分だと思います。
他の問題を解く上で前提とされるような、ベーシックかつ重要な概念が目白押しです。
他に両ドメインに共通しているのは知識ではなく理解を試す問題が多く、問題文が
長いという事。
自分を含め多くの日本人にはここが山になるのではないかと思います。
難易度:4
エンタープライズ・セキュリティアーキテクチャ
8割できたのは完全なまぐれ。確信をもって回答したのは1つだけ。
TCBって何?
TCSECって何?
問題文をよく読むといいのかもしれません。
一言でいって「難しい」。
勉強しにくそうなドメインなので難易度は最高の5にしてみました。
難易度:5
アクセス制御のシステムと方法論
用語が特殊。思ったよりRDBのアクセス制御に関する問題が多い。そのわりに点取れてない。がっくり。
データベース関連の英語を復習します。
難易度:3
アプリケーションセキュリティ
データベース・データウェアハウス・OO言語・継承など。
英語をよく読めば常識でいける問題が多いです。
非エンジニアの方が受験されるのであれば、しっかりとした準備が必要と思われます。
ドメイン全体にインパクトに欠けます。
たまたま今日やった問題は奇をてらわない良問だったって事だろうか?
難易度:3
運用セキュリティ
物理セキュリティに次ぐ楽勝ドメイン。3問も間違えたのは・・・何間違えたっけ?
復習はしないとな・・・。
難易度:2
暗号学
半分しかできなかった。アポだ・・・。一から勉強します。
英語での暗号についての記述を租借するのも、大変。加えて暗記すべき項目が全ドメイン中一番多い。
救いはコツコツ地道に勉強すれば必ず得点できる内容と思える事です。
それから他のドメインとは内容の重複が少ない、いわばCISSP国の中の離島。
他のドメインの進行状況にかかわらず勉強ができるのはラッキー。
それらを踏まえ難易度は4にしてみました。
難易度:4
通信、ネットワーク、インターネットのセキュリティ
ボーダーの7割をとるのがターゲットであれば一番楽勝のドメインのはず。
一応仕事の内容とかぶるのでこのドメインでは90%以上を目標にすることに
します。
DOD Layerをド忘れ。要復習。
arpとrarpの違いを問う問題を間違う。問題文はきちんと読め、オレ!(自戒)
個人的にこのドメインについては深く勉強しても無駄にならず、仕事に活かせる。
そんなわけで細かいところまでキチンと勉強して、いつかネスペを受けるときの肥やしにできればと思います。
難易度:2
物理的セキュリティ
システムの熱耐性を華氏で聞かれる。華氏と摂氏の計算の仕方を調べねば。
概念的な説明が無く、勉強しやすい。万人に分かりやすいと思われます。
本番では満点とりたいドメイン。
難易度:1
事業継続計画
ディザスタリカバリ等。
現在の仕事の半分は運用の自分にとって内容は覚えやすく、英単語も簡単。
一般の開発者・SEさんにはどうなんでしょうか?
難易度:2
法、捜査、倫理
今回のプチ模試前、最も苦手意識があった分野。テキストでこのドメインの解説箇所をみるだけで
暗記項目の多さに気が遠くなりましたが、実際の問題は意外と素直でした。
英語をきちんと読む事と、法律についての基礎知識をテキストでしっかり勉強すれば
個々の法律を暗記せずとも合格点にのせられるのかもしれません。
もう少し問題をやってみて、出題の傾向をしっかり把握したい。
苦手である事に変わりは無いので、早めに目処をたてたい所です。
難易度:4
---------------------------------------------------------------------------
総評:
問題解くのに2時間近くかかったかな?全体の正答率は73%だった。
ドメイン"情報セキュリティマネージメント "以外は完全未着手という点を
考えると予想を大幅に上回る出来でした。
上に書いたように一部のドメインは間違いなくまぐれ。
それを差し引いても今の業務やセキュアドの勉強の蓄積が生きているのを
感じました。
テキストのサンプル問題が全体的に易しい可能性があるので、別の本(できれば
問題集)を買って、実際の試験のレベルを確認しようと思いました。
英語について:
現在日本でCISSPを受験する場合、問題は全て日本語と英語が併記されているそうです。
つまり本試験では英語を読む必要は殆ど無いのです。
しかし英語力が必要ないかというと、そんな事はありません。
CISSPの内容自習に必要な英語力:
CISSPの参考書・テスト問題集は全て英語です。ISC2 Japanのセミナーを受講しない/できない
自力勉強組(私を含みます)は英語のテキストで勉強するしかありません。
そのテキストの英語の難易度ですが日常的に英語の技術文書に触れている方には大した事ないと
いえます。
ISC2のサイトにCBKの説明、各ドメインの定義と目標が書いてあるので、それを読んでみてください。
テキストの難易度はそれと似たようなものです。
個人的感想:
やっとCISSP挑戦のスタートラインにたったという感じがしてきました。
今日は各ドメイン、たかだか10問しか解いていません。今後勉強している中で
各ドメインにたいする印象が変わることは当然予想されます。
そのときは随時アップデートをしていこうと思います。
今日はCISSPと初顔合わせ。
そんなところです。
尚、勉強には以下の本を使っています。(文中でテキストと書いているのはこの本です。)
まだCISSPの試験を始めたばかりですし、他の本との比較も出来ないのですが、
暗号に関する解説は図版を多く使い、非常に分かりやすくまとまっている点は良いです。
(本についてはまたいずれキチンと整理してみたいと思います。)
The Cissp Prep Guide: Gold Edition (All-In-One)
Ronald L. Krutz Russell Dean Vines

おすすめ平均 
まずは入門
最初の試験対策本として最適かと。

Amazonで詳しく見る
by G-Tools

カード増えすぎ

cards.jpg
何かにつけ増えていってしまうカード。(いらないカードは捨てまくってるので、これでも少ないほうのはず)
気になったので今日現在の所有カード棚卸をしてみた。
カードの内容
(左上から)
TOPS復刻 Michael Jordan ルーキーカード
大学の学生証
献血手帳
SUICA
ICOCA
パスネット
ビックカメラポイントカード
ビックコンタクトメンバーズカード
ビックカメラポイントカード(その2)
DOS/Vパラダイス・じゃんぱらクラブカード
武藤クリニック 診察券
川崎市立図書館 貸し出しカード
JAL マイレージバンク
自由が丘の服屋のポイントカード
郵貯キャッシュカード
郵貯キャッシュカード(その2)
みずほ銀行キャッシュカード
三井住友銀行 One'sダイレクト暗証カード
三井住友銀行 キャッシュカード

横浜銀行 キャッシュカード
東京三菱銀行 キャッシュカード
新生銀行 キャッシュカード
CITIBANK クレジットカード
ドラゴンカルビ・牛仙ポイントカード
美容室TCSポイントカード
(写真にはないけれど)普通自動車運転免許
消費者金融でお金を借りるとア○フルカード等といったカードが発行されるらしい。
そういうのが無いのが救いだけど、後は没個性なマイカード達。
郵貯とビックポイントカードは使ってないほうを解約しないとなぁ。
あと横浜銀行も解約しなきゃ。
学生証は卒業証書と引き換えに返却するんだけど、卒業式に行かなかったのでそのまま持ってます。
これを機に捨てます。
所有しているカードを一覧にしたものを見れば、詳細に持ち主のプロファイリングが出来そうですね。
楽しいかも。
暇な方は俺のカードでプロファイリングしてみてください。
「俺のカード晒してもいいよ!」という勇者も募集します。
飛行機の免許、アメックスのセンチュリオン、銀行の貸し金庫、その他一般庶民には縁の無いカードを
お持ちの方はこの機会に堂々と自慢をして頂きたいと思います。

Nov 5, 2004

脅しのメッセージ

knife.jpg
ログインメッセージとはサーバやアプリケーションにログインする際に
表示されるメッセージの事です。
最近、セキュリティに配慮したログインメッセージを目にすることが
多くなりました。(unix系では/etc/issue,issue.netをいじるとログインメッセージが変更できます。)
セキュリティに配慮したというのはかなりやわらかい表現で
実際はユーザを脅すメッセージです。
本システムはプライベートシステムです。
アクセスを許可されていないユーザはログインしないでください。
権限の有無にかかわらず、このシステムへのアクセスと利用は監視され、
刑事/民事上の処罰を受けることになります。

↑こんな感じ。
実際に監視されているケースは稀で、処罰を受ける例はもっと
稀なんでしょうが、内容の真偽はこの際無視!
問題は悪意ある攻撃者がこのメッセージを見てどう考えるか?です。
「コワッ!このサーバには触れないでおこう」とならないことは
予想がつきますよね。

抑止効果が少ないわりに、正規の利用者には
「うちのシステム狙われてるの?」とか
「なんだあの感じの悪いメッセージは?私は部長だぞ!」とか
受けが悪そうです。
ログインメッセージに細工をするくらいなら別のところに手を入れるべき
というのが私の意見です。
さらに感じの悪い例を1つ。
これはログインメッセージじゃなくてメールです。
たまにメールのフッターに以下の文を貼り付けている人をみます。
*********** DISCLAIMER *************
This message is intended exclusively for the named person. It may contain
confidential, propietary or legally privileged information. No
confidentiality or privilege is waived or lost by any mistransmission. If
you receive this message in error, please immediately delete it and all
copies of it from your system, destroy any hard copies of it and notify th=
e
sender. Your must not, directly or indirectly, use, disclose, distribute,
print, or copy any part of this message if you are not the intended
recipient. 略

なんとなく訳:
***注意!***
あなたがあて先やCCに含まれていなく、たまたまこのメッセージを手にしちゃった場合
即刻全てのシステムからデータを消し去り、送信者に事態を報告しなさい。
間違って手にしたメッセージを再利用したり、公開したり、配布したりするのは一切禁止です。

これをメールに書いている人は何を意図しているんでしょうか?
1、メールサーバで管理者に覗き見されるを恐れている。
→PGPとかで暗号化してくれ。
2、間違った人に送った場合に削除してもらえる事を期待して?
→勝手に間違えて送り付けといて図々しいな、君。
こんな言い訳貼ってる暇あったら、あて先きちんと確認してくれたまえ、ウンウン。
3、郵便事故よろしく、時空のハザマにメッセージが吸い込まれ、間違った人間に配送されたときの対策。
→ロスト(消失)するならまだしも、指定してない宛先には届かないでしょ。
とにかく目障りな割りに、想定している事故の発生率が低そうで、危機に備えたリスクヘッジとは
考えにくく・・・
そもそも「削除してね(ハート)」って書いとけば消してもらえると思ってんのかコラー!!!
今日も私は本文が「了解です。田中」のみ。
その後10行にわたって延々上記の言い訳文が書かれたメールを受信し、思うのです。。。
「君は一体何に怯えているのだね?」
< 備考>
セキュリティインシデントが発覚して、それが法廷で争われる事になるケースを想定し、
注意義務を怠ったなどと判断されないようにログインメッセージを変えているという
好意的な解釈もできます。これだとメッセージ自体が無意味とは言えなくなるんですが
「他にやることあるだろう?」という気がしますね

CISSP受けてみます!

cissplogo03.gif
セキュアドの試験が終わり一段落しました。
「次は何の勉強しよう?」といろいろ考えたのですが、CISSPに挑戦してみたいとおもいます。
最近WindowsやSQLサーバを触る機会が増え、MCP,MCSA,MCSE等のマイクロソフト系の
資格も考えましたが暗記する量が多くて自信が無い事、そして少なくとも今の会社ではMSの資格を
とっても評価されないだろうという予想からひとまずパス。
CISSPはもともとのセキュリティブーム(あえてこう書きます)に最近日本語での試験提供が
始まった事が相まって、ひそかに盛り上がりつつあります。
既に欧米ではかなり認知度が高いので、ゆくゆくは日本でももっと盛り上がるでしょう。
受験日は今のスケジュールだと11月と2005年1月と3月。(試験概要とスケジュール
11月はもう締め切られているので、年明けのどちらかになります。
一応現時点での予定は1月ですが、きちんと準備ができていなければ3月に延期予定です。
理由は以下2つ。
・受験料が68,250円と高額なので、一発合格しないといけない。
・CISSP認定に際し「セキュリティに従事して3年以上」という条件があり、それがクリアできるのが
 来年の4月。(焦って勉強して合格してもCISSPを名乗れない。)
来年の春にはこのブログで「CISSP攻略講座」とか出来るように・・・頑張ります。
勉強の中で気づいたことなどはブログにもどんどん書き込んでいこうとおもいます。
・・・と退路を断って自分を追い詰める為の受験宣言でした。

別府史之がディスカバリーチャンネルへ移籍!

いきなりのTT1、なによりあのランスとチームメートですよ。
USポスタルはチームとして管理が行き届いていて、どの選手も
安定して強いというイメージがありますが、その秘密を実際に経験
できるとはすごすぎです。
もちろんいきなりメジャーレースに出れるとは思えないんですが
あせらずじっくり頑張ってほしいです。
関係ないけどUSPSのチーム名簿。
ペーニャはこんなブ○イク写真しかなかったのか???