[市場動向]

PHP技術者認定機構、Webセキュリティの実務知識試験を2021年4月に開始

2020年7月15日(水)日川 佳三(IT Leaders編集部)

一般社団法人BOSS-CON JAPANの内部組織であるPHP技術者認定機構は2020年7月15日、Webセキュリティの実務知識を問う試験「ウェブ・セキュリティ実務知識試験」(通称:徳丸実務試験)を2021年4月から開始すると発表した。本試験に先立ち、ベータ試験を2020年12月に実施する。試験問題はEGセキュアソリューションズ(代表:徳丸浩)が作成する。

 ウェブ・セキュリティ実務知識試験は、Webセキュリティの実務知識を問う試験である。セッション管理や認証/認可、文字コードといった、Webセキュリティに関連した基礎知識から、SQL呼び出しやファイルアクセスなどWebアプリケーションを構成する機能別のバグと脆弱性、脆弱性への対策方法、開発体制、――などをカバーする。

 設問数は50問で、70%正解で合格となる。受験料金(税別)は1万2000円。全国のオデッセイコミュニケーションズCBTテストセンターで実施する。推奨前提知識は、PHP7技術者認定初級試験合格レベルのPHPの知識。試験の主教材は『体系的に学ぶ 安全なWebアプリケーションの作り方 第2版』(SBクリエイティブ)。

 出題範囲は、以下の通り。

  • 1章 Webアプリケーションの脆弱性とは
    1. 脆弱性とは、「悪用できるバグ」
    2. 脆弱性があるとなぜ駄目なのか
    3. 脆弱性が生まれる理由
    4. セキュリティバグとセキュリティ機能
    5. 本書の構成
    6. セキュリティガイドラインとの対応
  • 2章 実習環境のセットアップ
    1. 実習環境の概要
    2. Firefoxのインストール
    3. VirtualBoxのインストール
    4. 仮想マシンのインストールと動作確認
    5. OWASP ZAPのインストール
    6. Firefoxの拡張FoxyProxy-Standardのインストール
    7. OWASP ZAPを使ってみる
    8. Webメールの確認
  • 3章 Webセキュリティの基礎 ~ HTTP、セッション管理、同一オリジンポリシー
    1. HTTPとセッション管理
    2. 受動的攻撃と同一オリジンポリシー
    3. CORS(Cross-Origin Resource Sharing)
  • 4章 Webアプリケーションの機能別に見るセキュリティバグ
    1. Webアプリケーションの機能と脆弱性の対応
    2. 入力処理とセキュリティ
    3. 表示処理に伴う問題
    4. SQL呼び出しに伴う脆弱性
    5. 「 重要な処理」の際に混入する脆弱性
    6. セッション管理の不備
    7. リダイレクト処理にまつわる脆弱性
    8. クッキー出力にまつわる脆弱性
    9. メール送信の問題
    10. ファイルアクセスにまつわる問題
    11. OSコマンド呼び出しの際に発生する脆弱性
    12. ファイルアップロードにまつわる問題
    13. インクルードにまつわる問題
    14. 構造化データの読み込みにまつわる問題
    15. 共有資源やキャッシュに関する問題
    16. Web API実装における脆弱性
    17. JavaScriptの問題
  • 5章 代表的なセキュリティ機能
    1. 認証
    2. アカウント管理
    3. 認可
    4. ログ出力
  • 6章 文字コードとセキュリティ
    1. 文字コードとセキュリティの概要
    2. 文字集合
    3. 文字エンコーディング
    4. 文字コードによる脆弱性の発生要因まとめ
    5. 文字コードを正しく扱うために
    6. まとめ
  • 7章 脆弱性診断入門
    1. 脆弱性診断の概要
    2. 脆弱なサンプルアプリケーションBad Todo
    3. 診断ツールのダウンロードとインストール
    4. Nmapによるポートスキャン
    5. OpenVASによるプラットフォーム脆弱性診断
    6. OWASP ZAPによる自動脆弱性スキャン
    7. OWASP ZAPによる手動脆弱性診断
    8. RIPSによるソースコード診断
    9. 脆弱性診断実施上の注意
    10. まとめ
    11. 脆弱性診断報告書のサンプル
  • 8章 Webサイトの安全性を高めるために
    1. Webサーバーへの攻撃経路と対策
    2. 成りすまし対策
    3. 盗聴・改ざん対策
    4. マルウェア対策
    5. まとめ
  • 9章 安全なWebアプリケーションのための開発マネジメント
    1. 開発マネジメントにおけるセキュリティ施策の全体像
    2. 開発体制
    3. 開発プロセス
    4. まとめ

 なお、2020年7月15日から、Wenセキュリティの基礎知識を問う「ウェブ・セキュリティ基礎試験」(通称:徳丸基礎試験)を開始した。全国のオデッセイコミュニケーションズCBTテストセンターで実施している。

関連キーワード

PHP技術者認定機構 / BOSS-CON JAPAN / EGセキュアソリューションズ

関連記事

Special

-PR-

PHP技術者認定機構、Webセキュリティの実務知識試験を2021年4月に開始一般社団法人BOSS-CON JAPANの内部組織であるPHP技術者認定機構は2020年7月15日、Webセキュリティの実務知識を問う試験「ウェブ・セキュリティ実務知識試験」(通称:徳丸実務試験)を2021年4月から開始すると発表した。本試験に先立ち、ベータ試験を2020年12月に実施する。試験問題はEGセキュアソリューションズ(代表:徳丸浩)が作成する。

PAGE TOP