こんにちは、はじめです。
GIGアドベントカレンダー5日目を書いていくぞ！

今回は、ウェブセキュリティに関する基礎的な試験である、ウェブ・セキュリティ基礎試験(a.k.a 徳丸試験)を2021年9月に受けて来ました。

受けてきた感想、と思ったところを書いていければと思います。

ウェブ・セキュリティ基礎試験とは

ウェブ・セキュリティ基礎試験とは、PHP 技術の普及や技術者育成の推進を目的とした活動をしている、PHP技術者認定機構が出している資格試験です。
https://www.phpexam.jp/tokumarubasic/

ウェブセキュリティ界隈で著名な徳丸浩氏が監修をしています。

ウェブセキュリティに関した基礎的な知識を体系的に問われる資格になっているので、セキュリティの勉強したいけど何から始めたらよいかわからないという方は、資格を取ってみるのも一つの選択肢としてありだなと思います。

受験理由

普段開発をしている中で、ふとセキュリティについて知らないことが出てきたということ。
また、所属している会社でまず根底にセキュリティを重要視すべきという流れが強くなった。
この2点がありました。

この資格を取る前にまず脆弱性に対する攻撃手法を学ぶためにIPAの「安全なウェブサイトの作り方」を社内で輪読会をして、概要はさらったので実際に自分が理解しているのかを確認するために、資格を受けようと思ったのもあります。

勉強方法

出題範囲は基本的に「安全なWebアプリケーションの作り方 第2版」からしか出ません。

ひたすら教材を読み込んで、わからないところをメモ、読み込んで、メモを繰り返していました。
また出題傾向ですが、「安全なWebアプリケーションの作り方 第2版」の3章から出てくるものがほとんどです。
なので、ウェブセキュリティについて概要は把握しているという方は3章から入っても良いかもしれません。

しかし、以前受けていた方の受験記事等を見ていると、3章からの出題がほとんどだと書いてあったので、高をくくって3章を重点的に勉強をしていたら、8,9章からの出題多かったため少し苦戦しました。もしかしたら、出題傾向が変わってきているのかもしれません。

勉強時間に関しては、毎朝2時間勉強すると決めて2ヶ月弱勉強をしていました。
なので、合計60時間程勉強していたと思います。

試験申し込み

試験は各テストセンターに申し込みする形になります。

ここがテストの最難関かもしれません。
テストセンターの予約システムがレガシーなところが多いので、ちゃんと予約できているか不安になるところと、受験のためにオデッセイIDというものを別途取らないとならない、ということが受けるまでの難関ポイントでした。

当日は家の近くのテストセンターに行き、テスト受けるだけです。
久しぶりに人に監視されながらの"テスト"を受けたので、緊張しました。

試験を受けてみて

試験を受けた結果は、合格ラインが700のところ、800/1000で合格することができました👏👏👏

基礎的な試験ですが、全く勉強しないで取れるという人は少ないのかなと思う難易度でした。
自分の場合は業務に直結する内容なので、実務でも徳丸試験でやったところだ！となることもしばしばありました。
ウェブセキュリティについての知識が幅広く学べたのは、知識を深くするきっかけになって良いなと思います。

ウェブ・セキュリティ基礎試験の先に実務試験もあるので、余裕があればそちらも受けてみたいと思います。