Web アプリケーションエンジニアが「ウェブ・セキュリティ基礎試験」（通称：徳丸試験）を受けてみた #intra_security

Transcript

1. Webアプリケーションエンジニアが「ウェ ブ・セキュリティ基礎試験」（通称：徳丸基 礎試験）を受けてみた 第25回 セキュリティ共有勉強会（テーマ:災害対策）／@okashoi

2. お前だれ？

3. ウェブ・セキュリティ基礎試験？ https://peatix.com/event/857251

4. ウェブ・セキュリティ基礎試験？ 基礎的な知見を問う試験 受けたのはベータ試験 ベータでも合格者は正式に認定される 受験料が安い（1 万円 → 5 千円） 通称：徳丸基礎試験

   そうです、あの徳丸さんです https://www.phpexam.jp/news/tokumarushiken/

5. きっかけ https://twitter.com/ockeghem/status/1148857551959646208

6. きっかけ 友人「徳丸試験やて、ほら、申し込むぞ！」

7. きっかけ 私 「アッハイ」

8. 自分のセキュリティに関する知識レベル セキュリティに関する基礎概念はわかっている SQL インジェクション、XSS、CSRF、CORSなど 新規開発における方針の策定などを業務で経験してはいる 実装レベルの話はフレームワークにおまかせ

9. やっとこと 対策期間 1 ヶ月も無い 申し込み日 7 月 10 日 試験日

   8 月 4 日 他にもやることがあったので、正味使える時間はもっと少ない → 本で網羅的に知識をさらう

10. やったこと 20 時間も満たない 業務時間後に友人とあつまってもくもく（2～3時間×3） 当日試験開始まで（5時間） あとはこれまでの実務経験に頼る

11. 読んだ本 1 『徳丸浩のWebセキュリティ教室』 とりあえず網羅的にサクッと知りたかった 事例ベース 試験対策の知識としては深さが足りないと感じた エンジニア以外（事業責任者とか）にもおすすめできる

12. 読んだ本 2 『体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生 まれる原理と対策の実践』 Webセキュリティといったらこれ 出題範囲として明記されている 時間的に端から端まできちんと目を通すのは無理

    持っている知識と照らし合わせながら網羅性を優先して読んだ

13. 試験の様子 https://twitter.com/_yoshimasa/status/1157904225600303104

14. 試験の様子 4 択問題 40 問 70 % 正解で合格 試験時間 2

    時間

15. 試験結果 まだ（LT までに結果くると期待してたが、まだ）

16. 所感 セキュリティが大切なのは理解していても、体系的な知識を包括的 に身につけられているかは疑問に思っていた それに一定の指標を与えてくれるのはありがたい もちろん資格をとったから実務ができるというわけではない 「徳丸本を通して読む（エネルギーが要る）」きっかけになった

17. 徳丸基礎試験はいいぞ！ 感想ブログ https://blog.okashoi.net/entry/2019/08/04/200635