Slide 1

Slide 1 text

Webアプリケーションエンジニアが「ウェ ブ・セキュリティ基礎試験」(通称:徳丸基 礎試験)を受けてみた 第25回 セキュリティ共有勉強会(テーマ:災害対策)/@okashoi

Slide 2

Slide 2 text

お前だれ?

Slide 3

Slide 3 text

ウェブ・セキュリティ基礎試験? https://peatix.com/event/857251

Slide 4

Slide 4 text

ウェブ・セキュリティ基礎試験? 基礎的な知見を問う試験 受けたのはベータ試験 ベータでも合格者は正式に認定される 受験料が安い(1 万円 → 5 千円) 通称:徳丸基礎試験 そうです、あの徳丸さんです https://www.phpexam.jp/news/tokumarushiken/

Slide 5

Slide 5 text

きっかけ https://twitter.com/ockeghem/status/1148857551959646208

Slide 6

Slide 6 text

きっかけ 友人「徳丸試験やて、ほら、申し込むぞ!」

Slide 7

Slide 7 text

きっかけ 私 「アッハイ」

Slide 8

Slide 8 text

自分のセキュリティに関する知識レベル セキュリティに関する基礎概念はわかっている SQL インジェクション、XSS、CSRF、CORSなど 新規開発における方針の策定などを業務で経験してはいる 実装レベルの話はフレームワークにおまかせ

Slide 9

Slide 9 text

やっとこと 対策期間 1 ヶ月も無い 申し込み日 7 月 10 日 試験日 8 月 4 日 他にもやることがあったので、正味使える時間はもっと少ない → 本で網羅的に知識をさらう

Slide 10

Slide 10 text

やったこと 20 時間も満たない 業務時間後に友人とあつまってもくもく(2~3時間×3) 当日試験開始まで(5時間) あとはこれまでの実務経験に頼る

Slide 11

Slide 11 text

読んだ本 1 『徳丸浩のWebセキュリティ教室』 とりあえず網羅的にサクッと知りたかった 事例ベース 試験対策の知識としては深さが足りないと感じた エンジニア以外(事業責任者とか)にもおすすめできる

Slide 12

Slide 12 text

読んだ本 2 『体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生 まれる原理と対策の実践』 Webセキュリティといったらこれ 出題範囲として明記されている 時間的に端から端まできちんと目を通すのは無理 持っている知識と照らし合わせながら網羅性を優先して読んだ

Slide 13

Slide 13 text

試験の様子 https://twitter.com/_yoshimasa/status/1157904225600303104

Slide 14

Slide 14 text

試験の様子 4 択問題 40 問 70 % 正解で合格 試験時間 2 時間

Slide 15

Slide 15 text

試験結果 まだ(LT までに結果くると期待してたが、まだ)

Slide 16

Slide 16 text

所感 セキュリティが大切なのは理解していても、体系的な知識を包括的 に身につけられているかは疑問に思っていた それに一定の指標を与えてくれるのはありがたい もちろん資格をとったから実務ができるというわけではない 「徳丸本を通して読む(エネルギーが要る)」きっかけになった

Slide 17

Slide 17 text

徳丸基礎試験はいいぞ! 感想ブログ https://blog.okashoi.net/entry/2019/08/04/200635