こんにちは。PHP技術者認定機構の吉政でございます。
今日は話題のウェブ・セキュリティ試験(徳丸試験)の合格率と受験された方々のコメント(アンケートでコメントをいただいたもの)をご紹介します。これから受験をされる方々は是非ご参考ください。
ウェブ・セキュリティ試験(徳丸試験)に注目が集まる背景
ウェブ・セキュリティ試験は徳丸試験という通称がついている通り、徳丸先生に試験問題の作成支援をいただいた試験です。徳丸先生はご存じの方も多いと思いますが、国内屈指のウェブ・セキュリティの大家です。それ故に、ウェブ・セキュリティ試験に注目が集まっております。ただ、ここ最近は、PHPの求人数が2022年1月~2023年1月までの期間で3倍に増加しています。(Indeed Japan 求人数集計)この背景にあるのはコロナ禍による非対面セールスの強化を目的としたWebコンバージョンの質と量の強化やDXやデジタル化の実現によるWebによるお客様とのファーストコンタクトから顧客管理システムまでの一気通貫のマーケティングオートメーションの強化にあります。つまり、以前よりWebでの個人情報の取り扱いも増え、Webシステムの高度化による脆弱性発生の可能性の高まりもあり、ウェブ・セキュリティの理解がWebエンジニアに求められています。これが、ここ最近のウェブ・セキュリティ試験の注目度の高さを表していると考えています。
ウェブ・セキュリティ試験(徳丸試験)の合格率
2023年3月末の時点での各試験の合格率は以下の通りです。
ウェブ・セキュリティ実務試験(徳丸実務試験) 合格率 56.7%
ウェブ・セキュリティ基礎試験(徳丸基礎試験) 合格率 75.6%
一般的な試験の合格率は基礎レベルの試験の合格率が75%前後、上位試験の合格率が40%前後が適切と言われ、多くの試験がこの合格率に合わせて難易度を調整することが多いです。そういう意味では、実務試験の合格率は想定よりもやや高めの結果になっております。当方の想定としては実務試験が簡単すぎるとは判断していなく、当面、この難易度のまま進めるつもりでいます。実務試験の傾向としてアンケートの回答におけるコメント付きの回答の割合が高いことが特徴です。これは、試験としての満足度の高い場合に起こりやすい現象と考えています。しっかり勉強して、解きごたえのある問題に回答して、その結果に納得できた人が多いと、アンケート回答率が上がります。
ウェブ・セキュリティ基礎試験(徳丸基礎試験)を受験された方々のコメント(抜粋)
- ウェブセキュリティの知識を改めて自己整理するのにいい機会となりました。
- 『Webアプリケーションの作り方』を読み込むモチベーション、理解度の指標になったのが良かったです。
- 試験対策として、あらためて徳丸本を読んだところ、新しい気づきが得られました。
- 徳丸本が試験範囲であるということで、資格試験対策が、とても有意義であると感じました。
- 全体的に大事なことがしっかり出題されていて良い試験でした。カバー範囲もいい感じです。同僚や後輩に勧めたいですが、思ってたより少し難易度は高かったかもしれません。
- 本を読んで学んだことに見落としがあったことがわかりました。セキュリティに対する意識向上と、自分の理解の再確認ができました。
- セキュリティの初歩を勉強するうえでとても参考になった 想像していたより難しかったです。
- 徳丸本をよく熟読したことで、セキュリティについて体系的に理解することができた。試験のためではなく、今後の業務のためにスキルが伸びたと思います。
- 今は開発からは慣れているが、開発に戻った際や、現在の開発以外の業務にも役立つと感じました。
- 勉強時間が少なかったことと、やはりセキュリティの基礎知識が曖昧であることを痛感しました。再度、徳丸先生の本を読んで、知識を補足していきたいです。
- 基礎試験の名前のとおり、基礎部分の出題でしたので普段からセキュリティを意識してWeb開発を行っている人間にはやや簡単な問題ではありましたが、この試験に合格している人がどれくらいの知識を身につけられているのか、雰囲気がわかったのはよかったです。
- Webセキュリティの原理について実例を踏まえて理解でき、大変勉強になった。勉強したつもりですが難しかったです。
- 実用的なセキュリティ試験が他にあまりなかったので、受験しました。日頃は実務に追われているので、体系立てて勉強する良い機会になった。
- 自身の知識を客観的に確認する事ができ、弱点・強みなどの補強につながりました。
- JacaScriptの前提知識を必要とする問題が多いと感じられた。また、正規化に関する知識は参考書籍の範囲外だと思われるため、受験前の情報として記載頂けると助かります。
- Webセキュリティの初学者が目指す試験として良い試験だと思います。
- 試験を機会に勉強することができました。ありがとうございました。
- 自分のセキュリティに関するおおまかな理解度が把握できる。知らないワードがあったので、終了後調べてみようと思います。
- 知識の洗い直しができた。難しかったです。
- なんとなく知っているだけだった攻撃手法や脆弱性について、具体的な内容を知ることができた。また抜けている知識の確認にも役立った。
- セキュリティの導入として勉強することができた。 細かいところまでもっと復習したいと思いました。
- Web セキュリティの基礎を体系的に勉強でき、今後の実務に生かすことができそうです。
- 自分の把握していない知識がわかったところがよかったです。
- 目標を立てて勉強ができたことがよかったです。もっと勉強しなければ、、、と思った。
- 脆弱性について基本的なことをこの試験をきっかけに学ぶことが出来た。
- 脆弱性について幅広く設問があった・
- 分かっているつもりでも、いざ設問を見ると少し悩むものがあり、理解の不十分さを感じた。
- 特定の言語に特化しない、基本を正しく理解しているかの試験として大変有用と思います。上位の試験にも受かるように頑張ります。
- セキュリティ業務に就くうえで必要な知識が身に付きました。
- Webセキュリティのスキルを身につけるきっかけになった。
- 資格取得に向けて学習をしてきたつもりですが、脆弱性に対してどういった攻撃が可能であるかなどの視点が十分に養えておらず、試験を終えた今でも少し自信がなく感じております。引き続き、知識の吸収、それを活かした業務をおこなっていきたいと考えています。
- 参考書籍をじっくり読んだつもりではいましたが、まだまだ理解が及んでいないように感じました。
- 引き続き、不安に思う点や、自身の中で明確でないことに関しては、さらに詰めていき、知識を深めたいと考えています。
- 4択問題であるものの、本質を理解していないと回答できないように設計されており、セキュリティの基礎を学習するうえで良質な試験だと感じた。
- 実務で実際に使える内容だと思ったのが一番の理由です。また、実務では使用していない部分に関しても網羅的に学ぶことで、なぜ今の設計が良いのかが理解できました。
- 徳丸試験は仲間と一緒に一つの指標となるものかと考えています。
- 試験名とおりの難易度レベルであり、基礎とはいえ、きちんと理解していないと正答できないと思えるような問題が出題されていたと見受けられます。
- 本の内容を勉強し、仮想マシンで実習し、そのまま資格まで取れるのが、良いホップステップジャンプになっている。
- IT業界自体未経験からのセキュリティエンジニアとして脆弱性診断業務をこれまで行ってきました。これまでの業務や自学を通して成長した結果のアウトプットとして今回受験をさせていただいたため、大変満足しております。
- これからもアプリケーションの範囲に限らずに、セキュリティ業界を盛り上げて世界のITリテラシーを高め攻撃者を生まない世界を創れたらなと思います。
- 〇試験の内容について
- 問題の選択肢が正直いやらしい問題がいくつかあるように感じました。(所感です。)
- とはいえ、徳丸本第2版をしっかり読み込んでいれば7割は解ける内容になっていると思います。
〇試験の体制について
- 過去問や練習問題のようなものがあれば、試験の特性などが把握できるのであると受験者にはありがたいかなと感じました。
〇規約について
- 今回の受験を通して、徳丸本や徳丸試験に関した対策ブログや動画を出してもセキュリティ業界を盛り上げる、セキュア開発を啓発するという意味で面白いと感じました。
- その点について公式から何か言及がありましたら、私も行動したいと考えております。
- 最後に、このような試験を設定したいただいた関係者の皆様、ありがとうございます。
コメントをいただいた皆様、ありがとうございます。徳丸試験は大変多くのコメントをいただける試験です。それだけ、期待感や満足度も大きいのではないかと考えております。いただいたコメントすべてに目を通し、できる限り対応し、Webセキュリティを盛り上げる一助になれば幸いです。
いかがでしたでしょうか?次回は後編として実践試験に関してご紹介したいと思います。
