ウェブ・セキュリティ基礎試験(徳丸基礎試験) 受けてみました
ウェブ・セキュリティ基礎試験(徳丸基礎試験) 受けてみました
はじめに
こんにちは!株式会社BTM 仙台ラボの関口と申します。
Webアプリケーション開発において、重要なセキュリティ知識の習得の導入として最適な「ウェブ・セキュリティ基礎試験(徳丸基礎試験)」について紹介させていただきたいと思います!
ウェブ・セキュリティ基礎試験(徳丸基礎試験)とは?
ウェブ・セキュリティ基礎試験とは、PHP技術者認定機構が実施する試験で、Webアプリケーションのセキュリティに関する基礎知識を問うものです。ITセキュリティの第一人者である徳丸浩氏による著書「体系的に学ぶ 安全なWebアプリケーションの作り方 第2版」(以下、徳丸本)を主教材としており、開発者だけでなく、Webサイト運営者やユーザーにも役立つ内容となっています。
受験の動機
私はWebアプリケーション開発に携わっていますが、セキュリティに関する知識が体系的に整理できていなかったため、セキュリティの基礎固めとして徳丸本を学習することにしました。しかし、本書はボリュームが多く、読み進めるにはモチベーションの維持が課題でした。そこで、学習の目標としてウェブ・セキュリティ基礎試験の受験を決めました。試験合格を目標にすることで、学習のモチベーションを維持し、計画的に進めることにしました。
試験の概要
| 項目 | 内容 |
|---|---|
| 試験時間 | 1時間 |
| 設問数 | 40問 |
| 出題形式 | 選択式 |
| 合格基準 | 70%正解 |
| 試験方式 | CBT方式 |
| 出題範囲 | 徳丸本 第2版に基づく |
| 受験料 | 一般:11,000円/学割:5,500円 |
試験範囲
| 章 | 出題数 | 概要 |
|---|---|---|
| 1章 Webアプリケーションの脆弱性とは | 1 | 脆弱性の定義、重要性、発生理由など |
| 2章 実習環境のセットアップ | 0 | 【範囲外】環境設定 |
| 3章 Webセキュリティの基礎 | 3 | HTTP、セッション管理、同一オリジンポリシー |
| 4章 機能別に見るセキュリティバグ | 27 | 入力処理、表示処理、SQL呼び出しなど |
| 5章 代表的なセキュリティ機能 | 6 | 認証、認可、ログ出力など |
| 6章 文字コードとセキュリティ | 0 | 【範囲外】文字エンコーディング |
| 7章 脆弱性診断入門 | 0 | 【範囲外】診断ツール |
| 8章 安全性を高めるために | 2 | 攻撃対策、なりすまし対策など |
| 9章 開発マネジメント | 1 | 開発プロセスとセキュリティ施策 |
試験対策
- 第3章の基礎を徹底理解:HTTPやCORSなど何度も読み返し
- PHP実装例はさらっと:言語依存出題なしのため理解イメージに留める
- 脆弱性の攻撃手法・原因・対策を重点的に:自分の言葉で説明できるまで
徳丸本の目次は最後の知識確認にとても便利でした!
試験結果
学習期間:約1ヶ月、毎日1時間程度
結果:850点(1000点満点)で合格
試験時間は一時間で、一通り回答後に保留問題を見直すと
ちょうど制限時間いっぱいで終了しました。本試験では、後で見直ししたい問題にフラグを立てることが可能です。
試験を受けた感想
対策方針のおかげで効率よく学習でき、脆弱性の過程をイメージできれば合格圏内と感じました。
- 学習観点にメリハリがついた
- 〆切効果で集中できた
- 丸暗記ではなく本質的理解ができた
今後は実務知識試験にも挑戦し、理解を深めたいです。
まとめ
ウェブ・セキュリティ基礎試験は、Web開発者や運営者におすすめの入門試験です。この試験を活用してセキュリティ知識を確実に身につけましょう!
株式会社BTMではエンジニアの採用をしております。ご興味がある方はぜひこちらをご覧ください。
参考
-
SNS
-
投稿日
-
カテゴリー
BTM Useful