MENU

ウェブ・セキュリティ実務知識試験(徳丸実務試験)

■お知らせ

ベータ試験を2020年12月を目処に実施いたします。合格者は本認定とする予定です。
試験のご案内は以下のPeatixグループにて行う予定です。興味のある方はフォローしてお待ちください。

Peatix
PHP技術者認定機構の公式Peatixグループ
PHP技術者認定機構の公式PeatixグループPHP技術者認定機構の公式Peatixグループです。... powered by Peatix : More than a ticket.

※ウェブ・セキュリティ基礎試験(徳丸基礎試験)は2020年7月15日より全国200か所で通年実施を開始しました。詳細はこちらをご覧ください。

■ウェブ・セキュリティ実務知識試験実施の背景

コロナ禍により多くの企業がその活動の制限を課せられ、収支が悪化する企業も散見されています。この状況を打開するべく、アフター・コロナ、ウィズ・コロナの時代の企業活動において接触が少ないWebサイトを中心的に活用したビジネススタイルへのシフトが急がれています。

一方で企業サイトへのサイバー攻撃も念を重ねるごとに増長しており、新型コロナウイルスにより疲弊した企業がサイバー攻撃によるダメージを受けると経営に深刻なダメージを与えかねません。

令和元年版の情報通信白書(総務省)によると以下の表のとおり日本企業のセキュリティ対策の計画スパンを採用していない企業は30%になり、中期以上の計画をしている企業は30%にとどまっています。(*1)このような結果になっている原因には人材不足が挙げられております。2020年2月に公開された国立研究開発法人情報通信研究機構の資料によると、2020年の時点での推計で19万人の情報セキュリティ人材が不足しています。(*2)そこで、情報セキュリティ人材の育成推進するべく、ウェブ・セキュリティ基礎試験の実施及び、ウェブ・セキュリティ実務知識試験の計画を発表するに至りました。

※1 令和元年版の情報通信白書(総務省)より
https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r01/html/nd113320.html

※2 2020年2月に公開された国立研究開発法人情報通信研究機構の資料
https://www.soumu.go.jp/main_content/000675194.pdf

■ウェブ・セキュリティ実務知識試験概要
試験名称:ウェブ・セキュリティ実務知識試験
通称名:徳丸実務試験
試験開始予定:2021年4月
ベータ試験実施予定:2020年12月
運営団体:一般社団法人BOSS-CON JAPAN PHP技術者認定機構
受験料金:1万2千円(外税) ※学生および教職員は50%オフでの受験が可能になります。
試験センター:全国のオデッセイコミュニケーションズCBTテストセンター
設問数50問
合格:70%正解
主教材:「体系的に学ぶ 安全なWebアプリケーションの作り方 第2版」(SBクリエイティブ)
推奨前提知識:PHP7技術者認定初級試験合格レベルのPHPの知識

出題範囲:
1章 Webアプリケーションの脆弱性とは
1.1 脆弱性とは、「悪用できるバグ」
1.2 脆弱性があるとなぜ駄目なのか
1.3 脆弱性が生まれる理由
1.4 セキュリティバグとセキュリティ機能
1.5 本書の構成
1.6 セキュリティガイドラインとの対応

2章 実習環境のセットアップ
2.1 実習環境の概要
2.2 Firefoxのインストール
2.3 VirtualBoxのインストール
2.4 仮想マシンのインストールと動作確認
2.5 OWASP ZAPのインストール
2.6 Firefoxの拡張FoxyProxy-Standardのインストール
2.7 OWASP ZAPを使ってみる
2.8 Webメールの確認

3章 Webセキュリティの基礎 ~ HTTP、セッション管理、同一オリジンポリシー
3.1 HTTPとセッション管理
3.2 受動的攻撃と同一オリジンポリシー
3.3 CORS(Cross-Origin Resource Sharing)

4章 Webアプリケーションの機能別に見るセキュリティバグ
4.1 Webアプリケーションの機能と脆弱性の対応
4.2 入力処理とセキュリティ
4.3 表示処理に伴う問題
4.4 SQL呼び出しに伴う脆弱性
4.5 「 重要な処理」の際に混入する脆弱性
4.6 セッション管理の不備
4.7 リダイレクト処理にまつわる脆弱性
4.8 クッキー出力にまつわる脆弱性
4.9 メール送信の問題
4.10 ファイルアクセスにまつわる問題
4.11 OSコマンド呼び出しの際に発生する脆弱性
4.12 ファイルアップロードにまつわる問題
4.13 インクルードにまつわる問題
4.14 構造化データの読み込みにまつわる問題
4.15 共有資源やキャッシュに関する問題
4.16 Web API実装における脆弱性
4.17 JavaScriptの問題

5章 代表的なセキュリティ機能
5.1 認証
5.2 アカウント管理
5.3 認可
5.4 ログ出力

6章 文字コードとセキュリティ
6.1 文字コードとセキュリティの概要
6.2 文字集合
6.3 文字エンコーディング
6.4 文字コードによる脆弱性の発生要因まとめ
6.5 文字コードを正しく扱うために
6.6 まとめ

7章 脆弱性診断入門
7.1 脆弱性診断の概要
7.2 脆弱なサンプルアプリケーションBad Todo
7.3 診断ツールのダウンロードとインストール
7.4 Nmapによるポートスキャン
7.5 OpenVASによるプラットフォーム脆弱性診断
7.6 OWASP ZAPによる自動脆弱性スキャン
7.7 OWASP ZAPによる手動脆弱性診断
7.8 RIPSによるソースコード診断
7.9 脆弱性診断実施上の注意
7.10 まとめ
7.11 脆弱性診断報告書のサンプル

8章 Webサイトの安全性を高めるために
8.1 Webサーバーへの攻撃経路と対策
8.2 成りすまし対策
8.3 盗聴・改ざん対策
8.4 マルウェア対策
8.5 まとめ

9章 安全なWebアプリケーションのための開発マネジメント
9.1 開発マネジメントにおけるセキュリティ施策の全体像
9.2 開発体制
9.3 開発プロセス
9.4 まとめ

■■徳丸浩氏について
徳丸 浩(とくまる ひろし)
1985年京セラ株式会社に入社後、ソフトウェアの開発、企画に従事。1999年に携帯電話向け認証課金基盤の方式設計を担当したことをきっかけにWebアプリケーションのセキュリティに興味を持つ。2004年同分野を事業化。2008年独立して、Webアプリケーションセキュリティを専門分野とするHASHコンサルティング株式会社(現:EGセキュアソリューションズ株式会社)を設立。2015年 イー・ガーディアングループに参画。

脆弱性診断やコンサルティング業務のかたわら、ブログや勉強会などを通じてセキュリティの啓蒙活動をおこなっている。著書に、「徳丸浩のWebセキュリティ教室」(日経BP社)「体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践(ソフトバンククリエイティブ)」がある。