More than 1 year has passed since last update.

SecuriST 認定Webアプリケーション脆弱性診断士試験合格体験記

Last updated at 2023-01-27Posted at 2022-12-13

グローバルセキュリティエキスパート株式会社（GSX）の SecuriST 認定Webアプリケーション脆弱性診断士試験に合格したので，合格体験記を書いてみた。

公式

私のスキル（トレーニング受講前）

徳丸本「体系的に学ぶ安全なWebアプリケーションの作り方」熟読済み。
上野本「Webセキュリティ担当者のための脆弱性診断スタートガイド」熟読済み。
MBSD勉強会（無料）でBurpの使い方を覚えた。
初心者向けCTFは，ほぼ全てに参加し，Web問題に挑戦。
自分でwebサーバーをたてたことがある。（独学）
PHPでログイン画面を作ったことがある。（独学）
XSSでドメイン本物のままのフィッシングサイトのデモを作ったり，クリックジャッキングのデモページをギリギリ作れた。（独学）

主な保有資格は
情報セキュリティスペシャリスト
CISSP

公式トレーニングを受講した直後の感想（マイルド）

じゃあ受けなければよかったじゃん。と言われたらそれまでだが，上野宣氏の著書「脆弱性診断スタートガイド」の中身をほぼ完全に修得していたので，受講効果は非常に薄かった。

ネットワーク脆弱性診断士を受講すればよかった。悔いが残る，選択ミスだ。

試験勉強中に思ったこと

シラバスを後でみると、「スパイダーの利点と問題点を理解している」など、ネットに情報がなさげで、「講師さん、講習会テキストの+α的なことを喋ってるな」と思ったことが、試験範囲になっている。

しまった。聞き流してメモしてない。

講習会受けないと、試験に受かりにくくなってるのって，世の常。

トレーニング受講後の勉強時間

内容	時間
トレーニング環境での復習	ゼロ（時間が取れず）
講習会テキスト（PDF）	約５時間（11/30～12/09までの朝夕の電車）
シラバスにある用語	約４時間

※ワールドカップと重なり，勉強時間が少なめ。

トレーニングと受験日の間隔

トレーニングを受講してから１２日後に受験。

試験の感想

簡単という印象だったが，得点は低かった。

四択で間違えるの不可能というほど，意地悪さがみじんもなく，素直で，ものすごく簡単な問題７割。
回答に困る複数選択問題１割。
全く想定していなかった具体的なXSSの発動など，やや難問２割。

２回見直しした後，30問中，不正解は３問以下，90点以上，100点もあるかも？って自信をもって，試験終了ボタンを押したが，83％でビックリした。
30問中５問も間違えてる。

勉強をがんばった効果は薄い。ほどほど，でよかった。もし，70％以上で合格なら，無講習・無勉強でも合格していたと思う。

複数選択問題を落としたと思うが，「（略）こういう診断をするうえで重要なことを全て答えよ」なんて，考え方や解釈の違いが出る部分で，広くいけば全部チェックが正解だし，狭くしようと思えば狭くできる。

講師の先生が「試験範囲はシラバスのSilver部分」と何度も念押しするので勉強したが，シラバスの用語（下にまとめてます）を勉強しといてよかったと思う問題は１問も出題されなかった。

ここ重要！
あと，講習会テキストよりもやや上の問題もあった。
たぶん私は得点できていない。
具体的なHTMLソースに対して，XSSを発動させるために挿入する検査文字を選択させる問題。
こういう具体的な診断の問題が数問あった。
IPAの情報処理技術者試験に合格するような幅広い基礎知識が無い人は，こういう所でも得点しないと合格できないかもしれない。
もちろん、仕事で手動診断をしている人にとっては簡単な問題だろうけど。。。

情報処理技術全般のオールラウンダーでも，脆弱性診断に特化した人でも，どちらでも合格できるようにバランスよく設計された問題と思う。