[市場動向]

2022年3月25日(金)日川 佳三（IT Leaders編集部）

リスト

　PHP技術者認定機構の「ウェブ・セキュリティ実務知識試験」（通称：徳丸実務試験）は、Webセキュリティの実務知識を問う試験である。セッション管理や認証/認可といったWebアプリケーションの基礎知識のほか、SQL呼び出しなどWebアプリケーションを構成する機能ごとのバグと脆弱性、脆弱性への対策方法などをカバーする（関連記事：PHP技術者認定機構、Webセキュリティの実務知識試験を2021年4月に開始）。

　表1は、ウェブ・セキュリティ実務知識試験の概要である。試験の詳細を説明したWebサイトをオデッセイコミュニケーションズが公開している。

　出題範囲は以下のようになっている。

• 1章 Webアプリケーションの脆弱性とは
  1. 脆弱性とは、「悪用できるバグ」
  2. 脆弱性があるとなぜ駄目なのか
  3. 脆弱性が生まれる理由
  4. セキュリティバグとセキュリティ機能
  5. 本書の構成
  6. セキュリティガイドラインとの対応
• 2章 実習環境のセットアップ
  1. 実習環境の概要
  2. Firefoxのインストール
  3. VirtualBoxのインストール
  4. 仮想マシンのインストールと動作確認
  5. OWASP ZAPのインストール
  6. Firefoxの拡張FoxyProxy-Standardのインストール
  7. OWASP ZAPを使ってみる
  8. Webメールの確認
• 3章 Webセキュリティの基礎 ～ HTTP、セッション管理、同一オリジンポリシー
  1. HTTPとセッション管理
  2. 受動的攻撃と同一オリジンポリシー
  3. CORS（Cross-Origin Resource Sharing）
• 4章 Webアプリケーションの機能別に見るセキュリティバグ
  1. Webアプリケーションの機能と脆弱性の対応
  2. 入力処理とセキュリティ
  3. 表示処理に伴う問題
  4. SQL呼び出しに伴う脆弱性
  5. 「 重要な処理」の際に混入する脆弱性
  6. セッション管理の不備
  7. リダイレクト処理にまつわる脆弱性
  8. クッキー出力にまつわる脆弱性
  9. メール送信の問題
  10. ファイルアクセスにまつわる問題
  11. OSコマンド呼び出しの際に発生する脆弱性
  12. ファイルアップロードにまつわる問題
  13. インクルードにまつわる問題
  14. 構造化データの読み込みにまつわる問題
  15. 共有資源やキャッシュに関する問題
  16. Web API実装における脆弱性
  17. JavaScriptの問題
• 5章 代表的なセキュリティ機能
  1. 認証
  2. アカウント管理
  3. 認可
  4. ログ出力
• 6章 文字コードとセキュリティ
  1. 文字コードとセキュリティの概要
  2. 文字集合
  3. 文字エンコーディング
  4. 文字コードによる脆弱性の発生要因まとめ
  5. 文字コードを正しく扱うために
  6. まとめ
• 7章 脆弱性診断入門
  1. 脆弱性診断の概要
  2. 脆弱なサンプルアプリケーションBad Todo
  3. 診断ツールのダウンロードとインストール
  4. Nmapによるポートスキャン
  5. OpenVASによるプラットフォーム脆弱性診断
  6. OWASP ZAPによる自動脆弱性スキャン
  7. OWASP ZAPによる手動脆弱性診断
  8. RIPSによるソースコード診断
  9. 脆弱性診断実施上の注意
  10. まとめ
  11. 脆弱性診断報告書のサンプル
• 8章 Webサイトの安全性を高めるために
  1. Webサーバーへの攻撃経路と対策
  2. なりすまし対策
  3. 盗聴・改竄対策
  4. マルウェア対策
  5. まとめ
• 9章 安全なWebアプリケーションのための開発マネジメント
  1. 開発マネジメントにおけるセキュリティ施策の全体像
  2. 開発体制
  3. 開発プロセス
  4. まとめ