LoginSignup
18
16

More than 3 years have passed since last update.

@daihi_t

非エンジニアのウェブ・セキュリティ基礎試験(徳丸試験)受験記

Last updated at Posted at 2021-05-30

2021年5月30日、ウェブ・セキュリティ基礎試験(通称:徳丸基礎試験)に合格しました。
受験の動機や勉強方法を記録しておきたいと思います。
これから当試験を受験する方の参考になれば幸いです。

プロフィール

  • ニックネーム:とみー
  • 職業:IT営業(代理店営業)
  • 年齢:27歳
  • 保有資格:
    • 情報セキュリティマネジメント
    • CompTIA CySA+
  • 開発経験
    • 独学
      • 掲示板サイトが作れる程度

受験のきっかけ

  • きっかけその1:webアプリケーション脆弱性の理解度向上のため
  • きっかけその2:CTFのWeb問対策のため
  • きっかけその3:エンジニアとのコミュニケーションのため

試験を受ける過程でWebアプリケーション脆弱性の理解を深められると思いましたので本資格を取得することに決めました。
結果的に知識の整理と理解に役に立ったと思います。

きっかけその2とその3についてはそのままの意図となります。
Webアプリケーションの脆弱性への体系的な理解がCTF(特にWeb関連)や、
社内社外のエンジニアとのコミュニケーションに役に立つだろうと思いました。

受験までに勉強したこと

徳丸試験公式ページにある通り出題範囲は徳丸本全体となります。
そのため、徳丸本を読み込むことがそのまま試験対策となります。
私は徳丸本VM(徳丸本付録の実習環境)にて手を動かしながら学習を進めました。

以下は私の学習方法となりますが、能動的な学習になるように心掛けました。
合計で徳丸本は3周しました。
※ちなみに徳丸本はKindle版、紙版、どちらも持っていますが、試験対策に使ったのは紙版です。

学習方法

  • 1周目:徳丸本の目次から内容を予測し、ノートに書き出す(所要時間:3時間)

    • 目次内容からなんとなくこんな内容だろうというのを予測する。
    • 予測があっているかを答え合わせするようにしながら、サクッと徳丸本を一周する。 (予測を立てて読むことで、自身の知識レベルを把握につながり、足りない部分を取り込むことが狙い)

  • 1周目でわからなかった、もしくは理解が足りない単語をピックアップする(所要時間:10時間)

    • 知らない単語や関数はピックアップし、ノートなどにジャンル別にまとめ、知らない用語集を自作する。
    • 知らない用語集を一つ一つ調べ、理解を深める。
    • 実習環境を使い、色々なパラメータを入れてなぜ攻撃が成立するのか確認する。

  • 2周目:自分の言葉で表現することを意識しつつ読み進める(所要時間:4時間)

    • 自分が説明するならこう話すというのを考えつつ読み進める。

  • 3周目:問題になりそうな重要な部分にチェックをつけながら読み進める(所要時間:2時間)

    • 作問者の立場にたって出題されそうな部分を推測する。
      • 攻撃手法、影響範囲、対策方法など。

  • その他:徳丸浩のウェブセキュリティ講座を見る(所要時間:1時間)

特に3章~4章は徳丸本の中でも比重が大きいため、重点的に学習しました。
実際出題数も多かったと感じております。

また徳丸本のほかにもPentesterLabやCTF web問を解くなどしておりました。
勉強時間には含めていませんが、脆弱性らしき箇所を自分で探して検証を行えたことは徳丸本の理解にもつながったように思います。

受験にあたり参考になったサイト

ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
徳丸基礎試験に合格したので勉強方法とか書く
徳丸試験(ウェブ・セキュリティ基礎試験)の試験情報と勉強方法

特にのみぞうさん(@nomizooone)の記事は参考になりました。ありがとうございます。
(徳丸本バラバラにはしておりませんが.....笑)

結果と受験後の感想

結果

  • 評価得点:875点(1000点満点中)
  • 解答時間:20~30分程度

image.png

正直900点オーバーの手ごたえだったので悔しいというのが感想ですが、合格したので良しとします。

受験後の感想

とても満足しております。
徳丸本は以前から保有しておりますが、すべてのページを熟読することはしてきませんでした。
試験対策にあたり、いつもなら目が滑りがちなページであっても読み込む必要がありましたので、Webアプリケーション脆弱性について学習するいい機会になったと思います。

まとめ

徳丸基礎試験を受けるにあたっての勉強方法を書いてみました。
改めて、試験勉強は関連する知識を体系的に学べて良いなと感じました。

徳丸実務試験が受験出来るようになったらそちらも受けてみたいと思います。

この記事が徳丸基礎試験を受ける方の参考になれば幸いです。

18
16
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
18
16