ウェブ・セキュリティ基礎試験(徳丸基礎試験)に合格したので勉強方法まとめてみた

はじめに

先日ウェブ・セキュリティ基礎試験(以下徳丸基礎試験)に合格することができたので、勉強開始や合格までの過程でどのように勉強方法を進めたのか、整理してみました。

これから受験を検討される方にとって少しでも参考になれば幸いです。

読んで頂きありがとうございます。
簡単に私のプロフィールを紹介させて下さい!

  • 転職3回の30代アラサー♂
  • 新卒でSESに入社。SIerへ客先常駐してインフラエンジニア(2016年
  • IT企業(SaaS)の社内SEに転職(2018年〜)
  • 金融機関のセキュリティ担当に転職(2022年〜)
  • HR企業のセキュリティエンジニアに転職(2024年〜)
  • 保有資格はLPIC1,2 / CCNA / AWS SAA / AZ-900 / SG / RISS / ITILv4 / NSE / CISA / CISSP / 徳丸基礎試験等
  • Twitternoteもやってます


学習時点のスペックと学習期間

学習時点のスペック

現職はセキュリティエンジニアで、CISSPやCISA、情報処理安全確保支援士等、一丁前にセキュリティ資格は一通り持ってますが、まだまだひよっこ。

また、エンジニアと言いつつ企画や設計がメインで、ゴリゴリの技術者というわけではありません。

これまでのキャリアはインフラエンジニアや情シスとしての経験が長く、FWやUTM、EDR等のネットワークセキュリティやエンドポイントセキュリティの実務経験はあるものの、いわゆるWebセキュリティの実務経験はほぼない中でのスタートでした。


徳丸基礎試験とは?

概要

徳丸基礎試験の概要を以下の表にまとめました。

項目詳細
試験名ウェブ・セキュリティ基礎試験(徳丸基礎試験)
運営会社PHP技術者認定機構
主教材体系的に学ぶ 安全なWebアプリケーションの作り方(通称:徳丸本)
問題数40問
試験時間1時間
合格基準/合格率70%正解(28問以上) / 72.8%(2023年10月時点)
受験料金 一般:1万円(外税)、学生・教職員:50%オフ

試験の最新情報は公式サイトを確認ください。

受験をSNS等で宣言して試験申し込みをすると教材を無料でもらえるキャンペーンがあります。

合格体験記を書くと徳丸パーカ等でグッズがもらえます。

ちなみに私は合格体験記を書いて徳丸パーカをゲットしました。

うさまるまる様のウェブ・セキュリティ基礎試験(徳丸基礎試験)合格体験記を公開しました
◆合格者情報・お名前:うさまるまる・エリア:近畿・合格グレード:ウェブ・セキュリティ基礎試験 Q1:ウェブセキュリティ関連業務経歴年数とウェブセキュリティの勉強を始めた際の当時の状況についてお教えください。インフラエンジニアのキャリアが長く
www.phpexam.jp


出題範囲

徳丸本の出題範囲として、各章ごとに出題数が公式サイトで公開されています。みていただくと分かる通り、第4章が全体の75%(30/40問)を占めています。

  • 1章 Webアプリケーションの脆弱性とは: 1問
  • 2章 実習環境のセットアップ: 出題なし
  • 3章 Webセキュリティの基礎: 3問
  • 4章 Webアプリケーションの機能別に見るセキュリティバグ: 30問
  • 5章 代表的なセキュリティ機能: 3問
  • 6章 文字コードとセキュリティ: 出題なし
  • 7章 脆弱性診断入門: 出題なし
  • 8章 Webサイトの安全性を高めるために: 2問
  • 9章 安全なWebアプリケーションのための開発マネジメント: 1問


ひとまず合格体験記を読み漁る

読み漁った内容を要約すると以下の通り。

合格体験記からわかったこと

・第3章/第4章を丁寧に読む
・XSS・SQL・CSRFを理解する
・各脆弱性の概要/原因/範囲/対策を押さえる

合格体験記は調べるとたくさんありますが、以下の記事は特が参考になりました。

3日間で徳丸試験で9割取った方法
こんにちは、iCAREサーバーサイドエンジニアの寺井(@krpk1900_dev)です。 今後iCAREではより信頼性の高い開発を進めていくために、デザイナーとQAEを含む開発部全員でウェブ・セキュリティ基礎試験(通称:徳丸試験)の受験を推...
dev.icare.jpn.com
徳丸試験(ウェブ・セキュリティ基礎試験)の試験情報と勉強方法 - Qiita
ウェブ・セキュリティ基礎試験を受験してきました。とてもいい資格なので少しでも合格者が増えるように勉強方法含め情報共有します。ウェブ・セキュリティ基礎試験とは徳丸本の愛称で有名な体系的に学ぶ 安…
qiita.com


勉強方法

合格体験記の内容を踏まえて、まず第4章を重点的に学習を進めました。

合格体験記でも言われているとおり、第4章の各脆弱性ごと発生箇所や影響範囲等は正確に理解・暗記することが重要です。

私は各脆弱性ごと以下の観点についてエクセルで一覧にまとめました。

  • その脆弱性はどういうことか?(概要)
  • その脆弱性はどこで、どうやって発生するのか?(発生箇所・原因)
  • その脆弱性が起きてしまったらどうなるか?(影響)
  • その脆弱性はどうやったら防げるのか?(対策)

時間がある方は第2章で開発環境を構築することで動かしながら学ぶことをおすすめします。急がば回れで、実際動かすことで各脆弱性の理解度が高くなります。

3章/4章以外は正直流し読み程度で十分です。個人的に第3章、第4章以外の章から出題される問題は、ITの基礎的な知識がある方ならノー勉でも正解出来るレベルだと感じました。


徳丸本に挫折しそうな方へ

大前提、徳丸本の内容自体は決して難解ではなく、初学者でも読みやすい内容だと思います。

ただ、正直私がアホすぎるゆえに(笑)いきなり第3章、第4章を読んでも十分に理解できずにもやもやする部分がありました。そのため、より入門的な参考書を読んで補完しました。

何冊か読んで一番わかりやすかったのは『Web担当者のためのセキュリティの教科書』。この本の読者はWeb担当者という総務や広報等非エンジニアも含めた幅広い方を想定してつくられているそうです。

文章やもちろん、図解を用いた簡素かつ噛み砕いた解説が多く非常に読みやすいです。なお、kindle unlimitedをすでに利用している方であれば無料で読めます。

また、徳丸先生のYouTubeチャンネルもおすすめです。イメージしにくいCORSの原理やSQLインジェクションの脆弱性等についてわかりやすく解説されています。


おわりに

徳丸試験の合格率は公式発表で72.8%(2023年時点)と非常に高いです。それだけ聞くと簡単に合格できそうですが、合格基準は70%以上の合格が求められる点に注意が必要です。

通常のベンダー試験やIPA試験の合格基準(60%)より高いですよね。つまり舐めてると落ちます(笑)。

過去問題も公表されてないため、よくある過去問の暗記という力技での対応はできません。もちろん各脆弱性については多少暗記が求められますが、それ以上に理解が求められる試験だと感じます。

これから受験を検討される方は、IT試験にありがちな、焦って闇雲な暗記には頼らずに落ち着いて理解重視で学習されることをおすすめします。一助になれば幸いです。