fiscsecの日記

https://twitter.com/fiscsec

ウェブ・セキュリティ基礎試験(徳丸基礎試験)に合格しました

もうセキュリティの資格はいいでしょう、と思いつつ申し込んでしまったのでウェブ・セキュリティ基礎試験(通称徳丸基礎試験)を受験し、合格してきました。

  • 徳丸基礎試験概要
    セキュリティ担当者だけでなく、開発者にも広く読まれている徳丸浩氏著の「体系的に学ぶ安全なWebアプリケーションの作り方 第2版」(通称徳丸本)を試験範囲とした、Webアプリケーションセキュリティに関する基本的な試験です。
    徳丸本
    徳丸基礎試験詳細
    合格率は20年10月の記事で78.6%と公表されていますので、数字的には受かりやすい試験だと思います。JavaScriptは出るものの、PHP等特定言語に関する問題(関数名なども)は出ないと公表されています。試験時間は1時間、40問中28問正解(70%)で合格です。

  • 受験のきっかけ
    CISM合格でセキュリティ試験は打ち止めだと思っていたのですが、話題になっていたし費用も手ごろ(海外の試験ばかりだったので麻痺)で試験範囲が広くないので軽い気持ちで申し込みました。

  • 勉強方法
    素材は言うまでもなく徳丸本2版一択です。
    上記で記載のとおり、特定言語については出ないということで割り切りました。本のスペースの多くをPHPスクリプトが占めていると思いますが、PHPヨクワカランのでそこら辺はさっと済ませ、脆弱性の原因、影響、対策について重点的に理解するようにしました。例題が上記のリンクの3つ程度で問題の傾向も全くわからず、徳丸本を読みこむことしかできませんでした。

  • 試験申し込み

    自分で申し込んだときはよくわからず苦労しました。
    まず試験会場を選び、直接申し込みます。
    https://cbt.odyssey-com.co.jp/place.html
    私は地元のパソコン教室的なところを選びました。
    試験の選択肢にウェブ・セキュリティ基礎試験(通称徳丸基礎試験)がない場合、自分でその会場に問い合わせて追加して貰う必要があります。
    私はメールで問い合わせ後、すぐに追加してもらえました。
    なお、オデッセイIDが予め必要です。
    https://cbt.odyssey-com.co.jp/cbt/registration/index.action

  • 試験当日
    会場が歩いていける範囲なので助かりました。会場は普通のパソコン教室に併設された試験室。6席ありましたが満席でした。MS関係の試験を受けている人が多かった模様。試験開始時にオデッセイのIDでログインし、徳丸試験を選択してスタート。(PHPとかの試験も表示されていた記憶、それを選べば受けられちゃうのか?)
    即答できるような問題もあれば、あれどうだったっけ?というような問題もあり。言われているとおり、JavaScriptに関しては少し出たもののPHP等については出ませんでした。徳丸本の2章、6章、7章を除く範囲から満遍なく出たような気がします。キモはやはり4章ですが。
    25分程度で一通り解き終わり、もう一度解き直して40分程度で終了。
    結果がすぐ出るかと思いきや表示されるのはCBTお決まりのアンケートで、それへの回答後に結果が出ます。775点で無事合格。
    1問25点だとして9問ほど間違えてしまった模様。
    これまで受けてきた試験より金銭的や勉強量、プレッシャーの負荷は低かったのですがそれでもホッとしました。

  • 振り返り
    基礎試験という言葉が示すとおり、徳丸本の主要な箇所を理解できていれば難易度は高くないと思います。とはいえ私の場合は読み直さなければ、合格には至らなかったかもなぁと。基本的とはいえそれなりに細かいことも聞かれた印象がありますので。
    PHPのコーディングのことは流したので身についたと言えませんが、徳丸本の幅広いところが身についたんじゃないかな~と。(Webアプリ脆弱性の原因や対策は似たようなものが多いとか)細かいところは本を見れば良し!
    勉強期間は20時間~30時間でしょうか。難易度はどうだろう…人によると思いますが、範囲が徳丸本のみなのでIPAのSCよりは労力は掛からないのでは。

  • 今後
    TOEICの目標点超えるまでまだまだ時間が掛かりそうなので今年~来年は英語に専念になりそう。現時点でスコアも勉強開始当初よりそれなりに上がったので、目標達成したら記事を書きたい所存。
    セキュリティ試験を受けるとしたら以下を検討中。
    徳丸実務知識試験
     2021年秋頃にリリース予定?
     例題を見るとすごく難しいわけではないし、PHPも最低限で良さそうなので様子見しつつ受験を前向きに考えます。
    AWS 認定 セキュリティ – 専門知識
     純粋なセキュリティの試験ではなく、AWSのソリューションをセキュリティのために使う、がテーマな気がしている。(当然かもしれないですが)あまり優先度は高くない。
    ・OSCP
     知名度やステータスがだいぶ高くなっていて魅力的だけど自分がペンテストをやることはないので趣味と割り切る必要。それに15万円ほどかぁ…(会社支援なし)英語片付いたら考える。GCIH取得のために勉強したことが少しは使えると思っている。
    ・GIAC
     FOR508あたり受けたかったけど会社支援ないので断念!別の会社に行ったら検討!