More than 3 years have passed since last update.

非エンジニアのウェブ・セキュリティ基礎試験（徳丸試験）受験記

Last updated at 2021-05-30Posted at 2021-05-30

2021年5月30日、ウェブ・セキュリティ基礎試験（通称：徳丸基礎試験）に合格しました。
受験の動機や勉強方法を記録しておきたいと思います。
これから当試験を受験する方の参考になれば幸いです。

プロフィール

ニックネーム：とみー
職業：IT営業（代理店営業）
年齢：27歳
保有資格：
- 情報セキュリティマネジメント
- CompTIA CySA+
開発経験
- 独学
  - 掲示板サイトが作れる程度

受験のきっかけ

きっかけその1：webアプリケーション脆弱性の理解度向上のため
きっかけその2：CTFのWeb問対策のため
きっかけその3：エンジニアとのコミュニケーションのため

試験を受ける過程でWebアプリケーション脆弱性の理解を深められると思いましたので本資格を取得することに決めました。
結果的に知識の整理と理解に役に立ったと思います。

きっかけその2とその3についてはそのままの意図となります。
Webアプリケーションの脆弱性への体系的な理解がCTF（特にWeb関連）や、
社内社外のエンジニアとのコミュニケーションに役に立つだろうと思いました。

受験までに勉強したこと

教材：体系的に学ぶ安全なWebアプリケーションの作り方第2版脆弱性が生まれる原理と対策の実践
学習時間：20時間（試験対策時間のみ換算）
その他：PentesterLab,CTF web問

徳丸試験公式ページにある通り出題範囲は徳丸本全体となります。
そのため、徳丸本を読み込むことがそのまま試験対策となります。
私は徳丸本VM（徳丸本付録の実習環境）にて手を動かしながら学習を進めました。

以下は私の学習方法となりますが、能動的な学習になるように心掛けました。
合計で徳丸本は3周しました。
※ちなみに徳丸本はKindle版、紙版、どちらも持っていますが、試験対策に使ったのは紙版です。

学習方法

1周目：徳丸本の目次から内容を予測し、ノートに書き出す（所要時間：3時間）
- 目次内容からなんとなくこんな内容だろうというのを予測する。
- 予測があっているかを答え合わせするようにしながら、サクッと徳丸本を一周する。
  （予測を立てて読むことで、自身の知識レベルを把握につながり、足りない部分を取り込むことが狙い）
1周目でわからなかった、もしくは理解が足りない単語をピックアップする（所要時間:10時間）
- 知らない単語や関数はピックアップし、ノートなどにジャンル別にまとめ、知らない用語集を自作する。
- 知らない用語集を一つ一つ調べ、理解を深める。
- 実習環境を使い、色々なパラメータを入れてなぜ攻撃が成立するのか確認する。
2周目：自分の言葉で表現することを意識しつつ読み進める（所要時間：4時間）
- 自分が説明するならこう話すというのを考えつつ読み進める。
3周目：問題になりそうな重要な部分にチェックをつけながら読み進める（所要時間:2時間）
- 作問者の立場にたって出題されそうな部分を推測する。
  - 攻撃手法、影響範囲、対策方法など。
その他：徳丸浩のウェブセキュリティ講座を見る（所要時間：1時間）
- 隙間時間に動画で学習することで、知識の言語化を図る。
- 理解が深まったと感じた動画