[市場動向]

Webセキュリティの実務知識を問う「徳丸実務試験」を2022年4月1日に開始

2022年3月25日(金)日川 佳三(IT Leaders編集部)

一般社団法人BOSS-CON JAPANの内部組織であるPHP技術者認定機構は2022年3月25日、Webセキュリティの実務知識を問う「ウェブ・セキュリティ実務知識試験」(通称:徳丸実務試験)を同年4月1日に開始すると発表した。これに合わせて受験受付を同年3月25日に開始した。試験問題をEGセキュアソリューションズ(代表:徳丸浩)が作成している。

 PHP技術者認定機構の「ウェブ・セキュリティ実務知識試験」(通称:徳丸実務試験)は、Webセキュリティの実務知識を問う試験である。セッション管理や認証/認可といったWebアプリケーションの基礎知識のほか、SQL呼び出しなどWebアプリケーションを構成する機能ごとのバグと脆弱性、脆弱性への対策方法などをカバーする(関連記事PHP技術者認定機構、Webセキュリティの実務知識試験を2021年4月に開始)。

 表1は、ウェブ・セキュリティ実務知識試験の概要である。試験の詳細を説明したWebサイトをオデッセイコミュニケーションズが公開している。

表1:「ウェブ・セキュリティ実務知識試験」の概要(出典:BOSS-CON JAPAN)
設問数 50問
出題形式 選択式
試験方法 コンピューター上で実施するCBT(Computer Based Testing)形式
試験時間 75分
合格ライン 7割正解
受験料金 1万2000円(税別) 学生および教職員は半額
試験会場 全国300カ所の「オデッセイコミュニケーションズCBTテストセンター」
主教材 『体系的に学ぶ 安全なWebアプリケーションの作り方 第2版』(SBクリエイティブ)
推奨前提知識 PHP7技術者認定初級試験合格レベルのPHPの知識

 出題範囲は以下のようになっている。

  • 1章 Webアプリケーションの脆弱性とは
    1. 脆弱性とは、「悪用できるバグ」
    2. 脆弱性があるとなぜ駄目なのか
    3. 脆弱性が生まれる理由
    4. セキュリティバグとセキュリティ機能
    5. 本書の構成
    6. セキュリティガイドラインとの対応
  • 2章 実習環境のセットアップ
    1. 実習環境の概要
    2. Firefoxのインストール
    3. VirtualBoxのインストール
    4. 仮想マシンのインストールと動作確認
    5. OWASP ZAPのインストール
    6. Firefoxの拡張FoxyProxy-Standardのインストール
    7. OWASP ZAPを使ってみる
    8. Webメールの確認
  • 3章 Webセキュリティの基礎 ~ HTTP、セッション管理、同一オリジンポリシー
    1. HTTPとセッション管理
    2. 受動的攻撃と同一オリジンポリシー
    3. CORS(Cross-Origin Resource Sharing)
  • 4章 Webアプリケーションの機能別に見るセキュリティバグ
    1. Webアプリケーションの機能と脆弱性の対応
    2. 入力処理とセキュリティ
    3. 表示処理に伴う問題
    4. SQL呼び出しに伴う脆弱性
    5. 「 重要な処理」の際に混入する脆弱性
    6. セッション管理の不備
    7. リダイレクト処理にまつわる脆弱性
    8. クッキー出力にまつわる脆弱性
    9. メール送信の問題
    10. ファイルアクセスにまつわる問題
    11. OSコマンド呼び出しの際に発生する脆弱性
    12. ファイルアップロードにまつわる問題
    13. インクルードにまつわる問題
    14. 構造化データの読み込みにまつわる問題
    15. 共有資源やキャッシュに関する問題
    16. Web API実装における脆弱性
    17. JavaScriptの問題
  • 5章 代表的なセキュリティ機能
    1. 認証
    2. アカウント管理
    3. 認可
    4. ログ出力
  • 6章 文字コードとセキュリティ
    1. 文字コードとセキュリティの概要
    2. 文字集合
    3. 文字エンコーディング
    4. 文字コードによる脆弱性の発生要因まとめ
    5. 文字コードを正しく扱うために
    6. まとめ
  • 7章 脆弱性診断入門
    1. 脆弱性診断の概要
    2. 脆弱なサンプルアプリケーションBad Todo
    3. 診断ツールのダウンロードとインストール
    4. Nmapによるポートスキャン
    5. OpenVASによるプラットフォーム脆弱性診断
    6. OWASP ZAPによる自動脆弱性スキャン
    7. OWASP ZAPによる手動脆弱性診断
    8. RIPSによるソースコード診断
    9. 脆弱性診断実施上の注意
    10. まとめ
    11. 脆弱性診断報告書のサンプル
  • 8章 Webサイトの安全性を高めるために
    1. Webサーバーへの攻撃経路と対策
    2. 成りすまし対策
    3. 盗聴・改ざん対策
    4. マルウェア対策
    5. まとめ
  • 9章 安全なWebアプリケーションのための開発マネジメント
    1. 開発マネジメントにおけるセキュリティ施策の全体像
    2. 開発体制
    3. 開発プロセス
    4. まとめ
関連キーワード

PHP技術者認定機構 / 認定資格 / Webセキュリティ / 教育プログラム

関連記事

Special

-PR-

Webセキュリティの実務知識を問う「徳丸実務試験」を2022年4月1日に開始一般社団法人BOSS-CON JAPANの内部組織であるPHP技術者認定機構は2022年3月25日、Webセキュリティの実務知識を問う「ウェブ・セキュリティ実務知識試験」(通称:徳丸実務試験)を同年4月1日に開始すると発表した。これに合わせて受験受付を同年3月25日に開始した。試験問題をEGセキュアソリューションズ(代表:徳丸浩)が作成している。

PAGE TOP