はじめに
昨今サイバー攻撃がニュースでもとりあげられているとおり多発する世の中になっており、ますますWebセキュリティについても重要事項となっています。
そんななか、セキュリティ本の名著「体系的に学ぶ 安全なWebアプリケーションの作り方 第2版」(いわゆる徳丸本)をもとにした資格試験があることを知りました。
基礎試験は、合格率7割越え、実務試験も合格率6割越えなので、資格試験的にみると取りやすい資格のではないかと思います!
自分のWebセキュリティの知見を深めるため、早速わたしもこの資格試験を受けて、無事両方合格しました!(ほっ)
ということで、今回はこれから徳丸試験受けてみようって方向けに、わたしなりの勉強法を書いてご参考にしていただけたらと思います!
試験については下記をご参照ください
Webセキュリティ基礎試験(徳丸基礎試験)
Webセキュリティ実務知識試験(徳丸実務試験)
勉強法
徳丸本を熟読すべし!!!
これに限ります。これこそ合格への道ですね。
問題集はないので、徳丸本を読み内容をしっかり理解すること。
問題も、徳丸本に記載のままで、でることはないです。内容理解したうえでの出題なので、何回か読み直して内容を読み解いていくのがよいです。
といっても、分厚い本なのでうっ、、、となりますよね><
わたしなりのちょっとしたポイントを下記に記載してみますのでご参考いただければと思います!
4章は、どんな脅威がどこで起きてどんな影響があるかまで理解する
対策だけではなく、この攻撃はどこで起きるのか、この攻撃が成功したらどのような影響がでるのかを各攻撃毎に理解しておくこと。
徳丸本では、例えば”CSRF脆弱性のまとめ”というように、網掛けで各攻撃についてまとめが記載されていますので、その内容を理解しておくこと。
わたしは、このまとめ部分を「表」にまとめて学習しました。
試験前にざっと確認できるので、これはおすすめです。
4章以外もしっかり読む
主題は4章ですが、それ以外の章もいくつか問われるので、しっかり呼んでおくこと。
3章の能動攻撃、受動攻撃について、それぞれどのようなものを指すのかを理解する。
5章のパスワード認証まわりの攻撃の名称と攻撃手法を理解する。
ブルートフォース攻撃やパスワードスプレー攻撃など攻撃名と攻撃手法をセットで理解しておくこと。(試験中ここどわすれして冷や汗したのは内緒です(^o^;))
上記で資格試験リンクにある試験概要に、どの章から何問出題かまで記載されているので、出題なしの章は飛ばしちゃいましょう。(分厚い本なので)
おわりに
今回は徳丸試験についての勉強ポイントをわたしなりにまとめてみました。
Webセキュリティについての知見を深めるにはもってこいの資格試験です!
でもでも、資格試験に合格するぞ!という目的もありますが、やはり「Webアプリケーションにはどういった脅威があるのか理解を深める」が一番の目的じゃないかと思います!(我ながらいいこと言った)
徳丸本も2018年発行なので、直近どういう脅威が出ているのかも追って、日々対策をしていくのが重要になると思います!!!!!