このブログでも資格の話は多少取り上げていますが、今回は2019年12月より開始される徳丸試験について記事にしていきます。
ついに徳丸さんも試験名になったかと、個人的に非常に興味深い内容です。
私自身この試験を受けるかどうかはわかりませんが、興味がある方は考えてみてはいかがでしょうか。
徳丸試験の概要
徳丸試験については以下のニュースから実施することを知りました。
ウェブセキュリティの知見問う「徳丸試験」 – 2019年12月より開始
そして詳細を知りたいなと思い、EGセキュアソリューションズ株式会社のサイトから試験概要を調べてきました。
・試験では、ウェブアプリケーション開発を行う上で、必要なウェブアプリケーション脆弱性の知識およびその対策といった基礎的な知見と実務的な知識を問う問題を出題する。
・試験を通してセキュアプログラミング技術の向上に役立ててほしい。
とのことです。
運営は「一般社団法人BOSS-CON JAPAN PHP技術者認定機構」が行うみたいですね。
あくまで「EGセキュアソリューションズ」は参画する形になるとのことです。
試験はCBTテストセンターで受けれるとのことなので、PCで受ける形になるかなと思います。
IPAのような試験ではなく、CISAやCISMのような試験形式ですね。
勉強する際の参考書はもちろん徳丸本となります。
もちろんこのブログを見に来ている方なら既にお持ちかと思います。
試験を受ける受けないに関わらず、脆弱性診断に携わるなら持っておいて損はない一冊ですので、購入してみてくださいね。
また徳丸本と同じくらい有名な金床本についても読んでおいて損はないと思います。
どういった問題が出るのか?
セキュアプログラミングについて問われると思いますので、IPAの情報処理安全確保支援士の午前Ⅱよりもう少し具体的なプログラムの実装について問われるかと思います。
実際にコードが複数記載され、クロスサイトスクリプティングの対策として誤ったプログラミングはどれかとか、セキュアなプログラミングはどれか等が問われる形になるのかなと。
また、前に以下の記事に書いたようなWAFの配置場所とかも出るかもしれませんね。(セキュアプログラミングとは少し違うので出ないかな・・・)
SQLインジェクションをWAFで対策する際の失敗例①
SQLインジェクションをWAFで対策する際の失敗例②
最近徳丸日記にあったクロスサイトリクエストフォージェリについての内容は一回目の試験はほぼ出ると予想します。
このブログでも初級編は記事にしていますので、読んでみてください。
徳丸日記の問題を解いてみる初級編②:検証と解答
最後に
来年より新しく開始される徳丸試験について紹介しました。
確かに脆弱性診断を行っていると、会社によって脆弱性が物凄い出る場合と、ちゃんと作ってあるんだなーと思うようなアプリケーションはよくあります。
今現在でもSQLインジェクションは度々見かける脆弱性ですし。。。(さすがにOSコマンドインジェクションはそうそう見かけませんが・・・)
こういった取り組みから、日本のセキュリティが徐々によくなっていければいいと思っています。
皆様もお時間と多少の費用(学生とかはIPAの試験より安く受けれます)はかかりますが、受験を検討してみてはいかがでしょうか。
この資格が官公庁のWebアプリケーション開発の入札要件に出てきたら面白いなと素直に思っています。
不明点や要望やこういったこともやって欲しいとの要望があれば、お問い合わせページやコメント、ツイッターからでも結構ですので、気軽にご連絡ください。
コメント