◆合格者情報
・お名前:mkitahara
・エリア:関東
・合格グレード:ウェブ・セキュリティ基礎試験(徳丸基礎試験)
Q1:ウェブセキュリティ関連業務経歴年数とウェブセキュリティの勉強を始めた際の当時の状況についてお教えください。
アプリケーションエンジニアとして10年ほどです。セキュリティについて最低限の知識には触れてきましたがウェブセキュリティ専門としての経歴はありません。
とある時期よりプロダクトオーナーとして活動することになりました。エンジニアとして個人で守る部分は守ってきたつもりでしたが、チームにセキュリティの意識を向上させるため、メンバーに伝えられるようにまず自分が人に伝えるだけの知識を定着させなければと考えました。
Q2:ウェブセキュリティ試験を受けたきっかけと勉強方法についてお教えください。
■ きっかけ
基本的にはWebアプリケーションが提供しているフレームワーク通りの実装を行なっていれば、最低限のセキュリティは守られるはずですが、脆弱性が生まれてしまいます。攻撃を意識して実装をするだけでもセキュリティの強度は変化するとは思いますが、そもそも攻撃手段を知らなければ意識することができない。と、あらためて学ばなければと考えました。
■勉強方法
パラパラと眺めていた徳丸本を通読しました。
特に第3章から第6章を特に念入りに読み込みました。
実業務で、受入のテストケースを構築するときの参考にしました。
Q3:ウェブセキュリティ試験を受けて満足していますでしょうか?
セキュリティ・攻撃手法について学び直しをするキッカケになったことで満足しています。
結果がギリギリだったこと、OWASP Top10 2021が2017年版に比べて変化しているため、合格したことに満足せず学び続けなければと考えてます。
Q4:会社からの受験補助や資格手当がありましたでしょうか?
No
Q5:主教材である徳丸本を読まれた感想を教えてください。
各脆弱性/問題の概要、まとめの部分が非常に役にたちました。
パラパラ読んでいたときは主に攻撃手法と脆弱性のコード、対策について読んでいましたが、試験のために読んだときは、発生箇所・影響範囲など、ユーザーにどのような影響を与えて被害が出てしまうのか?という部分にフォーカスしました。
Q6:ウェブ・セキュリティエンジニアとしての今後の計画・夢・目標についてお教えください。
専門職として取り組むかどうかはわかりませんが、安全なウェブアプリケーションを構築して、顧客に安心して利用していただくために、構築・運用のプロセスに常に新しいセキュリティの観点を取り込んでいきたいと思います。そのために必要な知識を常に取り入れていきます。
