はじめに
エンパワーメントサービス部所属の綾城です。徳丸基礎試験おそらく第1号認定です。
私は普段、外部の会社で脆弱性診断等を担当しているエンジニアです。
自社のセキュリティにはまったく係わってないため、社内事情には少し疎いですが、今回は自社で開発者などコーディング作業がある会社で働いている方にお勧めの資格の紹介をしたいと思います。
徳丸本について
みなさんは、徳丸本をご存じでしょうか?正式には、安全なWebアプリケーションの作り方という本です。普通に読み方は”とくまるぼん”としちゃってます。Webアプリケーションセキュリティの第一人者、EGセキュアソリューションズ株式会社の徳丸浩氏が、2011年に著したベストセラー書籍です。Webセキュリティの本ではバイブル的な存在で、いろいろなところで紹介されては、読んどけとたくさんの方に私も言われました。
2018年大幅パワーアップした第2版が出版されました。個人でも買いましたが、会社にも置いておきたく、書籍購入制度を利用したのですが、総務から第2版が欲しい理由ってありますかと問われて、ページ数の増加と徳丸氏が書いた、安全なWebアプリケーションの作り方改訂のお知らせを見せて納得してもらったのをよく覚えています。その時は大変助かりました。第1版と第2版を読み比べるのもなかなか興味深いです。
しかし以前、Weeyble セキュリティ勉強会の輪読会に参加していたのですが、メンバーの中に安い中古買ったら第1版だったらしく内容が違うという事態になったことがありました。通常はもう第2版にしておきましょう。私が言うまでもないのですが、クロスサイト・スクリプティング、SQLインジェクションその他各種脆弱性について、コードを交えながら体験もできるという、とても素晴らしい書籍です。
徳丸試験について
徳丸試験は、正式名称ウェブ・セキュリティ試験といい、ウェブ・セキュリティ基礎試験(通称:徳丸基礎試験)が、2020年7月15日から正式に開始されました。ウェブ・セキュリティ実務知識試験(通称:徳丸実務試験)は、今後開始される予定です。
主催団体の一般社団法人BOSS-CON JAPAN PHP技術者認定機構の吉政忠志氏は、書籍を書いたり、興味深いコラムを書いたり、精力的に活動されてます。
問題の様子は、ウェブセキュリティ基礎試験予行問題集で少し見られます。
| 問題数 | 40問 |
| 出題形式 | 選択式 |
| 試験方法 | CBT形式 |
| 試験時間 | 60分 |
| 合格基準 | 7割正解 |
| 受験料 | 一般価格 11,000円 |
| 出題範囲 | 徳丸本の内容 |
詳しくは、下記を見てください。申し込みもこちらからです。
https://cbt.odyssey-com.co.jp/tokumaru.html
徳丸試験受験体験
私はちょうど去年の今頃、徳丸基礎試験のベータ試験を受けました。会場には血気盛んな感じの方達が集結しており、徳丸先生に挑戦するぞ!みたいな空気で満たされている気がしたのは私だけでないと思います。
予告通りPHPに関する問題は出ませんでしたがJavaScriptについてはほんの少し出ました。(XSSとか範囲だしあたりまえかな)問題を解きながら、書籍のあのあたりに書いてあったはずだけどなんだったっけなどと、結構頭を悩ませました。
30分ぐらいで退席する方も多くいましたが、私はじっくり時間を使いました。おそらくこの回は、士気の高さからほとんどが合格だったのじゃないかと思ってます。
ベータ試験を受けた方の記事 みなさん気合入ってますね
https://blog.pinkumohikan.com/entry/tokumaru-basic-exam
https://se-log.blogspot.com/2019/07/web-security-basic-examination.html
https://teitoku-window.hatenablog.com/entry/2019/10/16/202310
既に本試験を受けてきた方の記事 はやい!
http://blog.serverworks.co.jp/tech/2020/07/25/tokumarubasic/
この番号、おそらく第1号認定なのではないかなぁと思います。
徳丸基礎試験の合格方法
一応、タイトル詐欺にならないように書いておきます。
徳丸本をよく読む、余すところなく読む、わからないとことは調べたり、試したりして理解する。以上!
特に以下のようなマークのところは絶対理解しておきましょう。これで受かるだけなら受かります。しかしこの試験、合格だけが大事だとは私は思ってません。
大事なこと
私のはベータの時なので郵送できましたが、合格証明書と受験レポート(写真はベータのもの)が手元に来ます。受験レポートには、カテゴリ別の正答率が出力されています。試験中悩んだ箇所や、正答率が低かった部分を、振り返り復習することがとても大事です。この資格のいいところは、徳丸本をまんべんなく理解したかチェックできることにあります。
開発者は、配属されたプロジェクトや、プロジェクト規模により、自分の担当する箇所や機能に偏りがどうしても出てきてしまいますが、徳丸試験や受験レポートによって、あまり脆弱性について理解していない部分を見つけ出すことができます。また、会社全体でプロダクトのセキュリティを担保できているところが全てではなく、チームや個人の力に頼らざる負えない状況も多いです。個人的には、1~2年目ぐらいの開発者全員に、徳丸本をじっくり読んでもらって、徳丸基礎試験を受けてもらったらいいなと感じています。今後開始される徳丸実務試験にも開発者にはぜひ挑戦してもらいたいですね。
IPAの情報セキュリティマネジメントは全員に受けてほしいものの開発者よりではないし、情報処理安全支援確保士は、Webアプリケーションの問題はそんなに出なくなってきてる。EC-CouncilのCASEなどJavaですし、ちょっと敷居が高い気がします。開発者寄りでちょうど良さそうなのがあまりないという認識です。
脆弱性診断するならCEHやCompTIA PenTest+やSANSのGWAPTなどですかね。あと、OSCPなどでしょうか、ちょっとハイレベルすぎる気がします。上野本で、上野試験とかあるとありがたいのですけど、またOWASPのスキルマッププロジェクトの脆弱性診断士が試験になると程よい気もします。
さいごに
ウェブの脆弱性診断の現場で、時間ある時どのような準備をしておけばよいですかと聞くと、徳丸本読んでおいてよって回答がたまにあったのですが、徳丸試験受けておいてよと言われた事例がすでにあるそうです。自分が思ったより業界では注目されてそうです。
弊社のセキュリティエンジニアの募集要項には、Webセキュリティを学んだことのある方(独学可)としているのですが、徳丸基礎試験合格者は徳丸本の内容を理解しているとみてプラス評価になるでしょう。興味ある方は、下記の採用情報からセキュリティエンジニアの応募資格等を確認してみてください。もちろん、Webエンジニアも募集中です。下記ボタンからぜひ確認ください。
