2019/10/09 開催の 第25回 セキュリティ共有勉強会(テーマ:災害対策) (https://intra-security.connpass.com/event/147430/) のLT資料です。
Webアプリケーションエンジニアが「ウェブ・セキュリティ基礎試験」(通称:徳丸基礎試験)を受けてみた第25回 セキュリティ共有勉強会(テーマ:災害対策)/@okashoi
View Slide
お前だれ?
ウェブ・セキュリティ基礎試験?https://peatix.com/event/857251
ウェブ・セキュリティ基礎試験?基礎的な知見を問う試験受けたのはベータ試験ベータでも合格者は正式に認定される受験料が安い(1 万円 → 5 千円)通称:徳丸基礎試験そうです、あの徳丸さんですhttps://www.phpexam.jp/news/tokumarushiken/
きっかけhttps://twitter.com/ockeghem/status/1148857551959646208
きっかけ友人「徳丸試験やて、ほら、申し込むぞ!」
きっかけ私 「アッハイ」
自分のセキュリティに関する知識レベルセキュリティに関する基礎概念はわかっているSQL インジェクション、XSS、CSRF、CORSなど新規開発における方針の策定などを業務で経験してはいる実装レベルの話はフレームワークにおまかせ
やっとこと対策期間 1 ヶ月も無い申し込み日 7 月 10 日試験日 8 月 4 日他にもやることがあったので、正味使える時間はもっと少ない→ 本で網羅的に知識をさらう
やったこと20 時間も満たない業務時間後に友人とあつまってもくもく(2~3時間×3)当日試験開始まで(5時間)あとはこれまでの実務経験に頼る
読んだ本 1『徳丸浩のWebセキュリティ教室』とりあえず網羅的にサクッと知りたかった事例ベース試験対策の知識としては深さが足りないと感じたエンジニア以外(事業責任者とか)にもおすすめできる
読んだ本 2『体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践』Webセキュリティといったらこれ出題範囲として明記されている時間的に端から端まできちんと目を通すのは無理持っている知識と照らし合わせながら網羅性を優先して読んだ
試験の様子https://twitter.com/_yoshimasa/status/1157904225600303104
試験の様子4 択問題 40 問70 % 正解で合格試験時間 2 時間
試験結果まだ(LT までに結果くると期待してたが、まだ)
所感セキュリティが大切なのは理解していても、体系的な知識を包括的に身につけられているかは疑問に思っていたそれに一定の指標を与えてくれるのはありがたいもちろん資格をとったから実務ができるというわけではない「徳丸本を通して読む(エネルギーが要る)」きっかけになった
徳丸基礎試験はいいぞ!感想ブログhttps://blog.okashoi.net/entry/2019/08/04/200635