◆ 合格者情報
・お名前:足羽 崇
・エリア:関東
・合格グレード:ウェブ・セキュリティ実務知識試験
Q1:ウェブセキュリティ関連業務経歴年数とウェブセキュリティの勉強を始めた際の当時の状況についてお教えください。
勉強を始めたのは 2004 年です。
当時は、まだ Web アプリケーションのセキュリティについて議論が尽くされているとは言えず、情報も十分に整理されていませんでした。
IPA の旧セキュア・プログラミング講座と、OWASP のツール、ドキュメントを中心に勉強していました。もちろん、日経BP社より出ていた書籍「Web アプリケーションのセキュリティ完全対策」も読ませていただきました。
Q2:ウェブセキュリティ試験を受けたきっかけと勉強方法についてお教えください。
ウェブ・セキュリティ基礎試験、ウェブ・セキュリティ実務知識試験が発表されたときから、チャレンジしたいと思っていました。
勉強方法は、徳丸本の通読です。基礎試験を受験したときに、すでに一通り読んでいましたが、今度は PHP のコードも含め、より丁寧に読んだつもりです。ときおり、データの流れがわからなくなり、リクエストの内容とレスポンスの内容を紙に書き起こして整理することがありましたが、それ以外はスムーズに進みました。
Q3:ウェブセキュリティ試験を受けて満足していますでしょうか?
満足しています。徳丸本を通読する、よいきっかけとなりました。
Q4:会社からの受験補助や資格手当がありましたでしょうか?
ありません。
Q5:主教材である徳丸本を読まれた感想を教えてください。(読まれていない場合は読んでないと回答ください)
感激しました。すでに勉強していた(つもりになっていた)分野についても、読んでみると、新たな発見がいくつもありました。
実は、徳丸本を参考に、自分が作成した社内研修用のコンテンツを、何か所も修正しました。
徳丸本は、わかりやすさと正確さを兼ね備えた良書中の良書だと思います。正直、Web に携わるエンジニアは、全員読んでほしいと思っています。
Q6:ウェブ・セキュリティエンジニアとしての今後の計画・夢・目標についてお教えください。
まずは、自分の知識をブラッシュアップしたいです。この試験でも、けっこう失点していました。まだまだ理解が不足しているということを思い知らされました。
夢は、とりあえず自組織で「当たり前のように、セキュリティを意識して、Web システムの構築や Web サービスの開発が進むようになること」です。
提案時からセキュリティを考えることが重要なのはもちろんですが、最後まで気を抜かないことも大変です。セキュリティは、いわば「なくてもリリースできてしまう」押しのけられやすい要素だからです。
ということで、どうしても今すぐ、第一線で開発している人にセキュリティの重要性を理解してもらう必要があると思っています。
それには、トップダウンで、強制的に学習の時間を作ってあげるのが手っ取り早い。できるところからやってみようと思います。