◆合格者情報
・お名前:Daisuke
・エリア:関東
・合格グレード:ウェブ・セキュリティ基礎試験(徳丸基礎試験)
Q1:ウェブセキュリティ関連業務経歴年数とウェブセキュリティの勉強を始めた際の当時の状況についてお教えください。
ウェブセキュリティ関連業務経歴は約2年。国家公務員という立場であり、これまで、IPAの情報セキュリティスペシャリストを取得するなど、机上での知識を中心に、個人的に勉強を重ねてきてはいたものの、実際の業務として、ウェブセキュリティに携わることがなかった。そのため、脆弱性の名称や概要については理解していたものの、実際にその脆弱性をついた攻撃がどのようなペイロードを使い、どのように侵入し、どのように悪用されていくのかという実務レベルの経験。知識がない状態で、ウェブセキュリティに係る業務に就くこととなった。
脆弱性情報の収集などを日々実施していたが、その情報を読み解き、各システム担当へ明確な注意喚起や情報共有、あるいは指示を出せていなかったことから、一歩踏み込んだ学習が必要と思い、ウェブセキュリティに関して改めて勉強を開始した。
Q2:ウェブセキュリティ試験を受けたきっかけと勉強方法についてお教えください。
業務でセキュリティ関連(CSIRTなど)を受け持つようになり、脆弱性の情報収集・内容の確認・必要に応じてシステム担当への注意喚起などを実施するようになったものの、XSSやSQLiなど、机上では理解しているものの、実際にどのようなシステム構成の場合に、どのような影響があるのか、それはそのシステムにとって重要なのかなど、判断できないことが多く、情報の垂れ流しになっていることが多かった。
情報を受け取る側も、注意喚起を真剣に確認することがなくなり、実際に影響の大きい脆弱性を見逃すことも考えられた。
セキュリティを受け持つ立場として、各脆弱性の攻撃手法を知ることで、各システムにおける影響度や重要度を判別し、適切な注意喚起やフォローができるようになるため、勉強を開始したものである。
Q3:ウェブセキュリティ試験を受けて満足していますでしょうか?
これまで、教科書的な知識でしかなかった脆弱性に関する知識が、攻撃手法、脆弱性となる原因、対策に至るまで、実際のコードを確認しながら学ぶことができ、各システム担当へ細部を説明することができるようになったと思う。まだ、深いレベルまで達してはいないものの、受験をするにあたってモチベーションを維持することができ、満足している。
Q4:会社からの受験補助や資格手当がありましたでしょうか?
No
Q5:主教材である徳丸本を読まれた感想を教えてください。
各脆弱性について、実際のコードによる説明があることで、どのような原因で、どのような脆弱性が利用され、どのような影響がでるのか、細部が説明されており、時間がかかったものの、理解することができたと思う。OWASPなどの利用についても解説が付されているところも、手を使って自分で理解できるという点も、理解が進む点であったと思う。
Q6:ウェブ・セキュリティエンジニアとしての今後の計画・夢・目標についてお教えください。
ある程度の理解度レベルに達したと思われるが、同じ職場には脆弱性診断士の方もおり、その方と自分を比較した場合、レベルが違うことも実感している。
今後は、脆弱性診断を実施できるレベルにまで知識を習得し、ウェブセキュリティに関して、第一人者と言われるレベルを目指していきたい。
