ウェブ・セキュリティ実務知識試験(徳丸実務試験)

※ウェブ・セキュリティ基礎試験(徳丸基礎試験)はこちらをご覧ください。

お知らせ

ウェブ・セキュリティ実務知識試験実施の背景

コロナ禍により多くの企業がその活動の制限を課せられ、収支が悪化する企業も散見されています。この状況を打開するべく、アフター・コロナ、ウィズ・コロナの時代の企業活動において接触が少ないWebサイトを中心的に活用したビジネススタイルへのシフトが急がれています。

一方で企業サイトへのサイバー攻撃も念を重ねるごとに増長しており、新型コロナウイルスにより疲弊した企業がサイバー攻撃によるダメージを受けると経営に深刻なダメージを与えかねません。

令和元年版の情報通信白書(総務省)によると以下の表のとおり日本企業のセキュリティ対策の計画スパンを採用していない企業は30%になり、中期以上の計画をしている企業は30%にとどまっています。(*1)このような結果になっている原因には人材不足が挙げられております。2020年2月に公開された国立研究開発法人情報通信研究機構の資料によると、2020年の時点での推計で19万人の情報セキュリティ人材が不足しています。(*2)そこで、情報セキュリティ人材の育成推進するべく、ウェブ・セキュリティ基礎試験の実施及び、ウェブ・セキュリティ実務知識試験の計画を発表するに至りました。

※1 令和元年版の情報通信白書(総務省)より
https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r01/html/nd113320.html

※2 2020年2月に公開された国立研究開発法人情報通信研究機構の資料
https://www.soumu.go.jp/main_content/000675194.pdf

ウェブ・セキュリティ実務知識試験概要

通称名:徳丸実務試験
運営団体:一般社団法人BOSS-CON JAPAN PHP技術者認定機構
受験料金:1万2千円(外税)(学校法人在籍の学生・教員は半額)
試験日:通年実施
試験会場:全国約300か所のオデッセイ コミュニケーションズCBTセンター
設問数:50問
出題形式:選択式
試験時間:75分
合格:70%正解
合格率:64.8%(2023年10月時点)
主教材:「体系的に学ぶ 安全なWebアプリケーションの作り方 第2版」(SBクリエイティブ)
推奨前提知識:PHP7技術者認定初級試験合格レベルのPHPの知識
※主教材に書かれている内容と同じ問題は出ませんので、丸暗記ではなく本質を理解するようにしてください。

出題範囲:
1章 Webアプリケーションの脆弱性とは 出題問題数 3問
1.1 脆弱性とは、「悪用できるバグ」
1.2 脆弱性があるとなぜ駄目なのか
1.3 脆弱性が生まれる理由
1.4 セキュリティバグとセキュリティ機能
1.5 本書の構成
1.6 セキュリティガイドラインとの対応

2章 実習環境のセットアップ 出題問題数 0問
2.1 実習環境の概要
2.2 Firefoxのインストール
2.3 VirtualBoxのインストール
2.4 仮想マシンのインストールと動作確認
2.5 OWASP ZAPのインストール
2.6 Firefoxの拡張FoxyProxy-Standardのインストール
2.7 OWASP ZAPを使ってみる
2.8 Webメールの確認

3章 Webセキュリティの基礎 ~ HTTP、セッション管理、同一オリジンポリシー 出題問題数 4問
3.1 HTTPとセッション管理
3.2 受動的攻撃と同一オリジンポリシー
3.3 CORS(Cross-Origin Resource Sharing)

4章 Webアプリケーションの機能別に見るセキュリティバグ 出題問題数 28問
4.1 Webアプリケーションの機能と脆弱性の対応
4.2 入力処理とセキュリティ
4.3 表示処理に伴う問題
4.4 SQL呼び出しに伴う脆弱性
4.5 「 重要な処理」の際に混入する脆弱性
4.6 セッション管理の不備
4.7 リダイレクト処理にまつわる脆弱性
4.8 クッキー出力にまつわる脆弱性
4.9 メール送信の問題
4.10 ファイルアクセスにまつわる問題
4.11 OSコマンド呼び出しの際に発生する脆弱性
4.12 ファイルアップロードにまつわる問題
4.13 インクルードにまつわる問題
4.14 構造化データの読み込みにまつわる問題
4.15 共有資源やキャッシュに関する問題
4.16 Web API実装における脆弱性
4.17 JavaScriptの問題

5章 代表的なセキュリティ機能 出題問題数 7問
5.1 認証
5.2 アカウント管理
5.3 認可
5.4 ログ出力

6章 文字コードとセキュリティ 出題問題数 1問
6.1 文字コードとセキュリティの概要
6.2 文字集合
6.3 文字エンコーディング
6.4 文字コードによる脆弱性の発生要因まとめ
6.5 文字コードを正しく扱うために
6.6 まとめ

7章 脆弱性診断入門 出題問題数 2問
7.1 脆弱性診断の概要
7.2 脆弱なサンプルアプリケーションBad Todo
7.3 診断ツールのダウンロードとインストール
7.4 Nmapによるポートスキャン
7.5 OpenVASによるプラットフォーム脆弱性診断
7.6 OWASP ZAPによる自動脆弱性スキャン
7.7 OWASP ZAPによる手動脆弱性診断
7.8 RIPSによるソースコード診断
7.9 脆弱性診断実施上の注意
7.10 まとめ
7.11 脆弱性診断報告書のサンプル

8章 Webサイトの安全性を高めるために 出題問題数 5問
8.1 Webサーバーへの攻撃経路と対策
8.2 成りすまし対策
8.3 盗聴・改ざん対策
8.4 マルウェア対策
8.5 まとめ

9章 安全なWebアプリケーションのための開発マネジメント 出題問題数 0問
9.1 開発マネジメントにおけるセキュリティ施策の全体像
9.2 開発体制
9.3 開発プロセス
9.4 まとめ

公式ロゴ

以下のロゴを公式ロゴとして使用できます。名刺やWeb等にご利用ください。原本は以下よりダウンロードください。https://www.phpexam.jp/summary/certform

試験の申込方法とキャンペーン

試験の申込方法:試験のお申し込みはこちらからお願いします。※試験結果は受験直後にスコアレポートを紙でいただけますので、その場で確認できます。認定証などは受験月の翌々月に発送されます。キャンペーンの詳細も以下のサイトに記載があります。

※試験申込サイト: http://cbt.odyssey-com.co.jp/tokumaru.html
(実務試験は上記ページの下段に記載があります)

徳丸浩氏について

徳丸 浩(とくまる ひろし)
1985年京セラ株式会社に入社後、ソフトウェアの開発、企画に従事。1999年に携帯電話向け認証課金基盤の方式設計を担当したことをきっかけにWebアプリケーションのセキュリティに興味を持つ。2004年同分野を事業化。2008年独立して、Webアプリケーションセキュリティを専門分野とするHASHコンサルティング株式会社(現:EGセキュアソリューションズ株式会社)を設立。2015年 イー・ガーディアングループに参画。

脆弱性診断やコンサルティング業務のかたわら、ブログや勉強会などを通じてセキュリティの啓蒙活動をおこなっている。著書に、「徳丸浩のWebセキュリティ教室」(日経BP社)「体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践(ソフトバンククリエイティブ)」がある。