テクニカルエンジニア(情報セキュリティ)のアンケートのお願いがメールで来ていたので，回答してみました．ちなみになんとか合格してます．

以前も書いたけど，もっと幅広い知識を問うようにしたほうが良いのでは? ということで，色々と書いてみました．

• 「「試験問題」は、「試験の出題範囲」で示す各技術分野にわたってバランスよく出題されていると思いますか。」の午後I,IIについて

PerlによるセキュアプログラミングとPKIの問題に偏りすぎ．Perlの知識の有無によって差が出そう．

• 「午後の「試験問題」は実務を反映した適切な内容となっていると思いますか。」の午後Iについて

ほぼ適切だと思うが，実務の経験がある人ほど，出題者の意図はわかるが，色々な可能性を考えてしまって，「これが解答だろうが，でも実際のこういう場面を考えるとこの解答では間違いだな」などと思ってしまいそう．また，実務経験のある人ほど，問題のあいまいさを感じてしまう点があったと思う．ほどほどの経験の人が試験勉強をやって，試験用の解答の書き方を訓練した方がすいすい解ける，というような問題だったと思う．もちろん，実務に詳しい人でも色々考えた結果正解は書けるが，色々考えていると午後1は時間が足りない．

まあ，試験なので仕方ないのかも知れないですが，そもそも今回のこの分野の試験は実務で役立つ知識を持った人しか合格させない，という感じの意気込みだったはず(と記憶している)．それにしてはフツーの試験みたいだったな，という事で，試験としてはまあ良くできた方だったのかも知れないですね．

• 「「試験問題」中のプログラミングに関する出題（午後I問１、午後II問２の中での出題）についてどうお考えですか。」の午後I,IIについて

Perlに詳しい人にアドバンテージがありすぎ．セキュアプログラミングのエキスパートだがPerlは詳しくないという人でも問題は解けるだろうが，午後1の時間を考えると，少し時間が足りない．もっとセキュアプログラミングの根本の知識が問えるような問題にして，言語依存性をなくすべきだと思う．一般的なセキュアプログラミングの問題に出す言語としてはPerlはあまりにも特殊すぎるように思う(言語仕様上，暗黙の処理が多すぎとか)．

午後1の感想と同じだが，今世の中で問題になっているシステムの脆弱性ではデータベースが絡んでいることが多い．Perlで閉じたような今回の問題のようなプログラムよりは，もっと幅広くデータベースや他のシステムまで絡んだ問題にすべきだと思う．でないと小手先のプログラム言語のセキュリティ対策だけが出きる人は見分けられるが，システム全体を見渡してプログラムする人が見分けられない試験になってしまうように思う．

• 「試験が想定している技術者にとって、「試験問題」のプログラミングに関する問題（午後I問１、午後II問２の中での出題）の難易度をどう思いますか。」

Perlを普段から触っている人にとっては簡単．Perlの知識はあるが，普段は使っていない人にとっては時間が足りない．Perlを知らない人で他のプログラミング言語の知識がある人にとっては，セキュリティ知識以前にPerlのプログラムでつまづく可能性がある

午後IIの2はPerlプログラム以外の問題もあったので，全体的に見れば適切だが，プログラムの部分は午後Iで書いた意見と同じ．

• 「試験時間からみて「試験問題」の出題量をどう思いますか。」の午後Iについて

出題者の意図を即時に読み取り，出題者の期待する解答を思い付くということだけに焦点をしぼりすぎではないか? 別の欄にも書いたが，実務に詳しい人ほど色々な可能性を考えてしまい，問題時間が足りなくなりがちに思う．そこそこのレベルで試験テクニックを研いた人の方が通りやすそう．

まあちょっと偏り過ぎの問題だったんじゃないかなと思ったりしてます．ポリシー系の問題は読んですらいないので，どうだったのか知りませんが．もう少しトレンド的にデータベースセキュリティの問題とかネットワーク系の問題とかあっても良いのかと思います．