• Home
• コーポレートブログ
• ウェブ・セキュリティ基礎試験（徳丸基礎試験）に合格しました

石川です。先日ウェブ・セキュリティ基礎試験（徳丸基礎試験）に合格しました。1000点中700点以上が合格の結果、700点ぴったりだったのであまり自慢できないですが、合格は合格なので勉強方法などを書いていきます。

ウェブ・セキュリティ基礎試験とは？

ウェブ・セキュリティ基礎試験(徳丸基礎試験） – PHP技術者認定機構

ユーザ、開発者に対してより一層のウェブ・セキュリティに対する意識と知見を高めるべく作成された、ウェブ・セキュリティに関する基礎的な知見を問う試験です。一般社団法人BOSS-CON JAPAN　PHP技術者認定機構が主催しています。主教材は徳丸本とも呼ばれる「体系的に学ぶ 安全なWebアプリケーションの作り方」で、この本の内容を理解できていれば合格できるはずです。

ウェブ・セキュリティ実務知識試験というもう一段階難しい試験もあります。今月始まったらしい。

なぜこの試験を受けることにしたか？

業務でウェブアプリケーションの開発を行う中で、フレームワークにカバーされている部分も含めてセキュリティについて勉強し直したいと考えたのがきっかけでした。ウェブ・セキュリティ基礎試験のことは提供開始のニュースを見て知っていて、試験範囲を見る限り業務に生かしやすい内容だと思ったので、他にもいくつかあるセキュリティ系の資格の中からこの資格試験を受けることに決めました。

「体系的に学ぶ 安全なWebアプリケーションの作り方」はWebセキュリティについて学ぶには定番の本ですが、ページ数が多くて全体に目を通せていなかったので「これを機に全部読んでやるぞ！」という気持ちもありました。

試験に向けた学習の流れ

私は資格試験を受けるときは勉強を始めるよりも先に試験の申し込みだけして、期限意識を持って勉強をするようにしています。もし当日になって受かる気がしなくてもとりあえず力試し気分で受けることに決めています。

今回は後から別の用事が重なってあまり勉強の時間がとれず、試験勉強には4日くらいしか取り組めませんでした。(ここは反省ポイント)

主な流れ

• 1日目: 「体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践」のKindle版を購入し、最初から最後まで読む
• 2日目: 主に3章・4章の内容を一問一答形式でまとめる(単語帳アプリ)
• 3日目: 単語帳アプリで問題を何周かするくらい解く。近年のOWASP Top 10の上位を見る。
• 4日目(試験が始まるまでの1時間): 単語帳アプリで間違えたことがある内容の説明を重点的に読む

①「体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践」を読む

体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 | SBクリエイティブ

• この段階では覚えることを意識しないで、攻撃手法や対策を理解・納得することを優先して読んだ
• Kindleのメモ＆ハイライト機能を活用した
  • あとからざっくり見直すために重要そうなところをハイライト
  • メモ機能で自分の言葉で内容を要約したり、解釈を書きこむ
• ページ数が多かったので、読み切るまでに5、6時間かかった
• 重要なところは強調して書かれていて読みやすかった
• 友人と通話を繋げてそれぞれが勉強したり作業する会を開き、たまに雑談しながら本を読んだ。周りの人が勉強していると自分もやらねばという気分になるので、集中力が続きやすくて良い。（友人たちは簿記の勉強とか色彩検定の勉強をしていました）

②単語帳アプリで暗記

本を読んだ結果覚えないといけない部分が多いことがわかったので、「自分で作る単語帳 WordHolic!」という単語帳アプリを利用して単語帳を作りました。

アプリに一つ一つ登録していくのは効率が悪いような気がしたので、表計算ソフトで表を作ってからCSV出力し、アプリにそのCSVをインポートして単語カードを登録しました。

良かった点 :

• ブックマークや暗記済みフラグなどがあって、自信の無いところをあとから見返しやすい
• 単語カードの表と裏を逆にして回答することができる（例えば表に脆弱性名、裏に対策を書いているとき、逆にすれば対策がどの脆弱性の物かを答えるテストになる）
• CSVファイルのインポートによってすばやくデータを登録できた

悪かった点 :

• データを登録した時点で割と満足してしまって、4周くらいしか問題を解けなかった。

③OWASP Top 10

OWASP Top 10とは、Webアプリケーション・セキュリティに関する最も重大な10のリスクについてのランキングと修正のガイダンスを提供するドキュメントです。 「体系的に学ぶ 安全なWebアプリケーションの作り方」からも言及されていたため、どんなリスクが上位に入っているのかをざっくりと見ました。(2017年版と2021年版)

OWASP Top 10:2021
OWASP/Top10: Official OWASP Top 10 Document Repository

④安全なウェブサイトの作り方

今回の試験に向けてやった勉強ではありませんが、6年くらい前に開発したWebアプリケーションの脆弱性診断をした経験がありました。IPAが公開している「安全なウェブサイトの作り方」と「セキュリティ実装 チェックリスト」を参考にしました。

安全なウェブサイトの作り方：IPA 独立行政法人 情報処理推進機構

例えば、チェックリストでは「SQLインジェクションに対する対策として、SQL文の組み立てはすべてプレースホルダで実装する」といったチェック項目があるとき、これに 対応済み とチェックを入れるためには「SQLインジェクションとは？」「プレースホルダとは？」「使っているフレームワークでプレースホルダを使うには？」「どんな書き方をしていたら駄目なのか？」といろんなことを知る必要があります。 当時は基本的な脆弱性についての知識もほとんどなく、チェックリストを埋めるために脆弱性やチェックすべき項目について都度調べたり質問しながら進めたので、それが経験として効いたかも知れません。

チェックリストだけでなく、 OWASP ZAPを使った脆弱性診断もこのときに行っていました。OWASP ZAPによって生成されるリクエストを見て「こういう値を渡すと攻撃になるんだなー」と思ったのを結構覚えていました。(過去のブログ「OWASP ZAP を使った脆弱性診断」内の開発担当が私です)

勉強が足りなかったところ

• CORSとJSONP
• 脆弱性があるときの影響範囲
• レスポンスヘッダ関連
• Cookieで指定可能な属性

700点ぴったりで合格な通り、わかっていない部分も多かったので後日復習の時間をとりました。

受験して良かった点

• セキュリティ系のニュースにより興味を持てるようになった
• 開発しているウェブアプリケーションについても「○○の対策大丈夫かな？」という視点で確認することが増えた
• 普段はフレームワークにカバーされているあまり意識することがない脆弱性についても理解が深まった
• 脆弱性の対策方法は知っていても実際どう攻撃に繋がるのか知らなかったりしたので興味深く勉強できた

興味があり業務にも生かしやすい内容だったので、これ機に勉強できて良かったです。ウェブ・セキュリティ実務知識試験にもいつか挑戦してみたいです。