ウェブ・セキュリティ実務知識試験(通称:徳丸実務試験)を2021年4月より開始~ウェブ・セキュリティ基礎試験(通称:徳丸基礎試験)は7月15日より開始~

一般社団法人BOSS-CON JAPAN(代表理事:吉政忠志、所在:東京都世田谷区、以下「BOSS-CON JAPAN」)は、BOSS-CON JAPAN内組織であるPHP技術者認定機構が国内Webセキュリティ第一人者である徳丸浩氏が代表を務めるEGセキュアソリューションズ株式会社の支援を受け、ウェブ・セキュリティ実務知識試験(通称:徳丸実務試験)を2021年4月より開始することを発表いたしました。本ベータ試験は2020年12月に実施する予定です。なお、本試験問題はEGセキュアソリューションズ株式会社が作成いたします。

また、ウェブ・セキュリティ基礎試験(通称:徳丸基礎試験)は7月15日より全国200か所以上のオデッセイコミュニケーションズCBTテストセンターにて実施いてします。先着100名様に「体系的に学ぶ 安全なWebアプリケーションの作り方 第2版」とウェブ・セキュリティ実務知識試験受験チケットを割引セット販売いたします。

※ウェブ・セキュリティ基礎試験(通称:徳丸基礎試験)申し込みの詳細とキャンペーンについては以下をご覧ください。
https://cbt.odyssey-com.co.jp/tokumaru.html

■ウェブ・セキュリティ実務知識試験実施の背景

コロナ禍により多くの企業がその活動の制限を課せられ、収支が悪化する企業も散見されています。この状況を打開するべく、アフター・コロナ、ウィズ・コロナの時代の企業活動において接触が少ないWebサイトを中心的に活用したビジネススタイルへのシフトが急がれています。

一方で企業サイトへのサイバー攻撃も念を重ねるごとに増長しており、新型コロナウイルスにより疲弊した企業がサイバー攻撃によるダメージを受けると経営に深刻なダメージを与えかねません。

令和元年版の情報通信白書(総務省)によると以下の表のとおり日本企業のセキュリティ対策の計画スパンを採用していない企業は30%になり、中期以上の計画をしている企業は30%にとどまっています。(*1)このような結果になっている原因には人材不足が挙げられております。2020年2月に公開された国立研究開発法人情報通信研究機構の資料によると、2020年の時点での推計で19万人の情報セキュリティ人材が不足しています。(*2)そこで、情報セキュリティ人材の育成推進するべく、ウェブ・セキュリティ基礎試験の実施及び、ウェブ・セキュリティ実務知識試験の計画を発表するに至りました。

※1 令和元年版の情報通信白書(総務省)より
https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r01/html/nd113320.html

※2 2020年2月に公開された国立研究開発法人情報通信研究機構の資料
https://www.soumu.go.jp/main_content/000675194.pdf

■ウェブ・セキュリティ実務知識試験概要
試験名称:ウェブ・セキュリティ実務知識試験
通称名:徳丸実務試験
試験開始予定:2021年4月
ベータ試験実施予定:2020年12月
運営団体:一般社団法人BOSS-CON JAPAN PHP技術者認定機構
受験料金:1万2千円(外税) ※学生および教職員は50%オフでの受験が可能になります。
試験センター:全国のオデッセイコミュニケーションズCBTテストセンター
設問数50問
合格:70%正解
主教材:「体系的に学ぶ 安全なWebアプリケーションの作り方 第2版」(SBクリエイティブ)
推奨前提知識:PHP7技術者認定初級試験合格レベルのPHPの知識

出題範囲:
1章 Webアプリケーションの脆弱性とは
1.1 脆弱性とは、「悪用できるバグ」
1.2 脆弱性があるとなぜ駄目なのか
1.3 脆弱性が生まれる理由
1.4 セキュリティバグとセキュリティ機能
1.5 本書の構成
1.6 セキュリティガイドラインとの対応

2章 実習環境のセットアップ
2.1 実習環境の概要
2.2 Firefoxのインストール
2.3 VirtualBoxのインストール
2.4 仮想マシンのインストールと動作確認
2.5 OWASP ZAPのインストール
2.6 Firefoxの拡張FoxyProxy-Standardのインストール
2.7 OWASP ZAPを使ってみる
2.8 Webメールの確認

3章 Webセキュリティの基礎 ~ HTTP、セッション管理、同一オリジンポリシー
3.1 HTTPとセッション管理
3.2 受動的攻撃と同一オリジンポリシー
3.3 CORS(Cross-Origin Resource Sharing)

4章 Webアプリケーションの機能別に見るセキュリティバグ
4.1 Webアプリケーションの機能と脆弱性の対応
4.2 入力処理とセキュリティ
4.3 表示処理に伴う問題
4.4 SQL呼び出しに伴う脆弱性
4.5 「 重要な処理」の際に混入する脆弱性
4.6 セッション管理の不備
4.7 リダイレクト処理にまつわる脆弱性
4.8 クッキー出力にまつわる脆弱性
4.9 メール送信の問題
4.10 ファイルアクセスにまつわる問題
4.11 OSコマンド呼び出しの際に発生する脆弱性
4.12 ファイルアップロードにまつわる問題
4.13 インクルードにまつわる問題
4.14 構造化データの読み込みにまつわる問題
4.15 共有資源やキャッシュに関する問題
4.16 Web API実装における脆弱性
4.17 JavaScriptの問題

5章 代表的なセキュリティ機能
5.1 認証
5.2 アカウント管理
5.3 認可
5.4 ログ出力

6章 文字コードとセキュリティ
6.1 文字コードとセキュリティの概要
6.2 文字集合
6.3 文字エンコーディング
6.4 文字コードによる脆弱性の発生要因まとめ
6.5 文字コードを正しく扱うために
6.6 まとめ

7章 脆弱性診断入門
7.1 脆弱性診断の概要
7.2 脆弱なサンプルアプリケーションBad Todo
7.3 診断ツールのダウンロードとインストール
7.4 Nmapによるポートスキャン
7.5 OpenVASによるプラットフォーム脆弱性診断
7.6 OWASP ZAPによる自動脆弱性スキャン
7.7 OWASP ZAPによる手動脆弱性診断
7.8 RIPSによるソースコード診断
7.9 脆弱性診断実施上の注意
7.10 まとめ
7.11 脆弱性診断報告書のサンプル

8章 Webサイトの安全性を高めるために
8.1 Webサーバーへの攻撃経路と対策
8.2 成りすまし対策
8.3 盗聴・改ざん対策
8.4 マルウェア対策
8.5 まとめ

9章 安全なWebアプリケーションのための開発マネジメント
9.1 開発マネジメントにおけるセキュリティ施策の全体像
9.2 開発体制
9.3 開発プロセス
9.4 まとめ

■ベータ試験の実施について

2020年12月を目処に実施いたします。合格者は本認定とする予定です。
試験のご案内は以下のPeatixグループにて行う予定です。
https://peatix.com/group/43424/

■■徳丸浩氏について

徳丸 浩(とくまる ひろし)
1985年京セラ株式会社に入社後、ソフトウェアの開発、企画に従事。1999年に携帯電話向け認証課金基盤の方式設計を担当したことをきっかけにWebアプリケーションのセキュリティに興味を持つ。2004年同分野を事業化。2008年独立して、Webアプリケーションセキュリティを専門分野とするHASHコンサルティング株式会社(現:EGセキュアソリューションズ株式会社)を設立。2015年 イー・ガーディアングループに参画。

脆弱性診断やコンサルティング業務のかたわら、ブログや勉強会などを通じてセキュリティの啓蒙活動をおこなっている。著書に、「徳丸浩のWebセキュリティ教室」(日経BP社)「体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践(ソフトバンククリエイティブ)」がある。

EGセキュアソリューションズ株式会社代表、京セラコミュニケーションシステム株式会社技術顧問、独立行政法人情報処理推進機構(IPA)非常勤研究員。技術士(情報工学部門)。

■■EGセキュアソリューションズ株式会社について

【イー・ガーディアングループ 概要】
1998年設立。2016年に東証一部上場。イー・ガーディアンは投稿監視、風評調査、ソーシャルリスニングのリーディングカンパニーとして、導入実績800社以上の基盤を誇る総合ネットセキュリティ企業です。事業領域は年々拡大しており、ゲームサポートやアド・プロセス、そして子会社化したEGセキュアソリューションズ株式会社との連携によるサイバーセキュリティ分野まで幅広く提案が可能。センターは、提携先をふくめてグループで国内6都市海外8都市20拠点の業界最大級の規模を有します。

■EGセキュアソリューションズ株式会社 会社概要
代表者 :代表取締役 徳丸 浩
所在地 :東京都港区麻布十番1-2-3 プラスアストルビル5F
設立 :2008年4月
資本金 :500万円(2018年3月末日現在)
業務内容 :1.情報セキュリティ、情報システムに関する監査、コンサルティング
      2.情報セキュリティに関する調査、研究、執筆、教育 
      3.情報セキュリティ関連の教育及びコンテンツ制作
      4.コンピュータシステムの企画、設計、開発、保守、販売
URL : https://www.eg-secure.co.jp/

■■PHP技術者認定機構について
オライリー・ジャパン、ニフティ、日本マイクロソフト、NTTコミュニケーションズによる特別協賛のもと、2011年2月1日に設立したPHP技術者認定試験を運営する団体です。オライリー・ジャパンが出版した『初めてのPHP5 増補改訂版』と『プログラミングPHP 第3版』を主教材及び出題範囲としています。業界初の匿名論文審査方式を採用した最上位資格審査「ウィザード」を実施しています。

以上

【本件に関するお問い合わせ先】
PHP技術者認定機構事務局(吉政創成株式会社内) 
担当:吉政(よしまさ) 080-3079-4441

※記載されているロゴ、会社名、製品・サービス名は、各社の登録商標または商標です。

この記事が気に入ったら
いいね または フォローしてね!

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!
目次