ウェブ・セキュリティ基礎試験(徳丸基礎試験)

お知らせ

ウェブ・セキュリティ基礎試験実施の背景

全世界で稼働しているWebサイトは5億サイトになりました。企業にとっても重要な位置づけになるため、サイバー攻撃の対象となるケースも増え、攻撃手法も複雑かつ巧妙になってきています。よってウェブ・セキュリティに対する対策は以前よりまして緊密且つ迅速に施さなければなりません。ユーザ、開発者に対してより一層のウェブ・セキュリティに対する意識と知見を高めるべく、本試験を実施いたします。本試験の主教材はウェブ・セキュリティの名著として知られる徳丸浩氏による「体系的に学ぶ 安全なWebアプリケーションの作り方 第2版」を採用し、本書を基本的な出題範囲として基礎的な知見を問う試験と実務知識を問う試験を実施いたします。

ITスキル標準(ITSS) について

経済産業省が定めたガイドライン「ITスキル標準(ITSS)」のキャリアフレームワークと認定試験・資格とのマップに職種:ソフトウェアディベロップメント、専門分野:応用ソフトのレベル1に掲載されました。今後の学習の指針としてご参考ください。

ウェブ・セキュリティ基礎試験概要

試験名称:ウェブ・セキュリティ基礎試験
通称名:徳丸基礎試験
ITSS:レベル1
合格率:72.8%(2023年10月時点)
受験料金:1万円(外税) ※学生および教職員は50%オフでの受験が可能になります。
試験センター:全国のオデッセイコミュニケーションズCBTテストセンター
試験時間:1時間
設問数:40問
合格:70%正解
主教材:「体系的に学ぶ 安全なWebアプリケーションの作り方 第2版」(SBクリエイティブ)
※主教材に書かれている内容と同じ問題は出ませんので、丸暗記ではなく本質を理解するようにしてください。
※本試験のお申し込みと詳細は本ページの下段に記載がございます。

認定研修コース
短期間で合格を考える方には認定スクールのCTCテクノロジーによる認定コースがお勧めです。詳細は以下をご覧ください。
https://www.school.ctc-g.co.jp/course/WS002.html

予行問題解説

※ウェブ・セキュリティ実務知識試験(徳丸実務試験)についてはこちらをご覧ください。

出題範囲: 
1章 Webアプリケーションの脆弱性とは 出題問題数 1問
1.1 脆弱性とは、「悪用できるバグ」
1.2 脆弱性があるとなぜ駄目なのか
1.3 脆弱性が生まれる理由
1.4 セキュリティバグとセキュリティ機能
1.5 本書の構成
1.6 セキュリティガイドラインとの対応

2章 実習環境のセットアップ 出題問題数 0問
2.1 実習環境の概要
2.2 Firefoxのインストール
2.3 VirtualBoxのインストール
2.4 仮想マシンのインストールと動作確認
2.5 OWASP ZAPのインストール
2.6 Firefoxの拡張FoxyProxy-Standardのインストール
2.7 OWASP ZAPを使ってみる
2.8 Webメールの確認

3章 Webセキュリティの基礎 ~ HTTP、セッション管理、同一オリジンポリシー 出題問題数 3問
3.1 HTTPとセッション管理
3.2 受動的攻撃と同一オリジンポリシー
3.3 CORS(Cross-Origin Resource Sharing)

4章 Webアプリケーションの機能別に見るセキュリティバグ 出題問題数 27問
4.1 Webアプリケーションの機能と脆弱性の対応
4.2 入力処理とセキュリティ
4.3 表示処理に伴う問題
4.4 SQL呼び出しに伴う脆弱性
4.5 「 重要な処理」の際に混入する脆弱性
4.6 セッション管理の不備
4.7 リダイレクト処理にまつわる脆弱性
4.8 クッキー出力にまつわる脆弱性
4.9 メール送信の問題
4.10 ファイルアクセスにまつわる問題
4.11 OSコマンド呼び出しの際に発生する脆弱性
4.12 ファイルアップロードにまつわる問題
4.13 インクルードにまつわる問題
4.14 構造化データの読み込みにまつわる問題
4.15 共有資源やキャッシュに関する問題
4.16 Web API実装における脆弱性
4.17 JavaScriptの問題

5章 代表的なセキュリティ機能 出題問題数 6問
5.1 認証
5.2 アカウント管理
5.3 認可
5.4 ログ出力

6章 文字コードとセキュリティ 出題問題数 0問
6.1 文字コードとセキュリティの概要
6.2 文字集合
6.3 文字エンコーディング
6.4 文字コードによる脆弱性の発生要因まとめ
6.5 文字コードを正しく扱うために
6.6 まとめ

7章 脆弱性診断入門 出題問題数 0問
7.1 脆弱性診断の概要
7.2 脆弱なサンプルアプリケーションBad Todo
7.3 診断ツールのダウンロードとインストール
7.4 Nmapによるポートスキャン
7.5 OpenVASによるプラットフォーム脆弱性診断
7.6 OWASP ZAPによる自動脆弱性スキャン
7.7 OWASP ZAPによる手動脆弱性診断
7.8 RIPSによるソースコード診断
7.9 脆弱性診断実施上の注意
7.10 まとめ
7.11 脆弱性診断報告書のサンプル

8章 Webサイトの安全性を高めるために 出題問題数 2問
8.1 Webサーバーへの攻撃経路と対策
8.2 成りすまし対策
8.3 盗聴・改ざん対策
8.4 マルウェア対策
8.5 まとめ

9章 安全なWebアプリケーションのための開発マネジメント 出題問題数 1問
9.1 開発マネジメントにおけるセキュリティ施策の全体像
9.2 開発体制
9.3 開発プロセス
9.4 まとめ

公式ロゴ

以下のロゴを公式ロゴとして使用できます。名刺やWeb等にご利用ください。原本は以下よりダウンロードください。https://www.phpexam.jp/summary/certform

公式LINEスタンプ

徳丸浩氏による『体系的に学ぶ 安全なWebアプリケーションの作り方』を題材とした、ウェブ・セキュリティ基礎試験(徳丸基礎試験)の公式スタンプです。
興味がある方は是非ご利用ください。
https://store.line.me/stickershop/product/9861689

例題について

PHPカンファレンス2019のPHP技術者認定機構ランチセッションで徳丸先生が講演された「徳丸試験基礎編の例題解説」スライドを公開頂きました。

試験の申込方法とキャンペーン

試験の申込方法:試験のお申し込みはこちらからお願いします。※試験結果は受験直後にスコアレポートを紙でいただけますので、その場で確認できます。認定証などは受験月の翌々月に発送されます。キャンペーンの詳細も以下のサイトに記載があります。

※試験申込サイト: http://cbt.odyssey-com.co.jp/tokumaru.html

徳丸浩氏について

徳丸 浩(とくまる ひろし)
1985年京セラ株式会社に入社後、ソフトウェアの開発、企画に従事。1999年に携帯電話向け認証課金基盤の方式設計を担当したことをきっかけにWebアプリケーションのセキュリティに興味を持つ。2004年同分野を事業化。2008年独立して、Webアプリケーションセキュリティを専門分野とするHASHコンサルティング株式会社(現:EGセキュアソリューションズ株式会社)を設立。2015年 イー・ガーディアングループに参画。

脆弱性診断やコンサルティング業務のかたわら、ブログや勉強会などを通じてセキュリティの啓蒙活動をおこなっている。著書に、「徳丸浩のWebセキュリティ教室」(日経BP社)「体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践(ソフトバンククリエイティブ)」がある。