00:15
はい、みなさんこんにちは。keethこどくわはらです。本日もやっていきましょう。
keethのエンジニア雑談チャンネル。
この番組では、ウェブ業界やエンジニアリング、いろんな技術についての情報を、
雑談形式で発信していきたいと思います。
で、今日はタイトルになります。
最近放送の冒頭で言ってます、あの徳丸試験っていうものがあって、
それを受けてきました。
正式名称はウェブセキュリティ実務知識試験というものです。
厳密に言うのは、基礎の方と実務と2つパターンあって、問題数が違います。
基礎の方は40問、実務の方は50問あります。
MAX1500点ですね。
そのうち7割なので、1050点正解すれば合格と。
で、合格点が1050点のうち、僕はですね、残念ながら990点で若干届かなかった。
正当率にすると66%なので、33問ですね。
なので、合格点7割ってことは35問なので、あと2問正解すればよかったんですけど、
僕は残念ながら届かなく、めっちゃ悔しい思いをしながら帰ってきました。
だけど、これは全然取れそうだなっていうのをすごい確信もしたし、
もう1回受ければ取れる自信があるので、
今月もう1回ですね、自分の未然を切って受け直してこようと思います。
で、セクションの分析もちゃんと出していただきまして、
セクション分析、合計8個ですね。
一番大事な、僕は第3章が一番点数が低くて、
まあこれ座学のところなんですね。
ちゃんと知識として理解してますかっていうことを問う章です。
3章はちなみに基礎として、HTTPとかセッション管理、
同一オリジンポリシーとかその辺のお話ですね。
いやむしろ僕、ここ理解してると思ったんですけど、
全然理解が浅くて点が取れなかったっていうことがよく分かりました。
で、逆に4章5章が具体のどういう話ですかっていうのを、
実際の徳丸本の方ですね。
書籍の方も具体的なPHPとかPARとかの行動を交えながら、
脆弱性の起こし方と対策の仕方と重要度とか
インパクトの度合いとかっていうのがここ解説されてるんですけど。
で、それを一個一個ずーっとお話をされていて、
特に4章が一番多いですね。
まあそれだけ大変っていうのもありますし、
語るところがたくさんある。
またウェブアプリの脆弱性の付き方っていう種類っていうのが
どんどん幅広くあるんだなっていうのがよく分かりました。
とはいえもう何十年も続く大事なセキュリティ対策っていうのもいくつかあって、
そこもしっかり理解してますかってのが問われて、
4章5章は僕点数そんなに悪くないと思ってますが、
でも4章も68%なのでちょっと大ざなりになってしまった感がありますね。
雑に学んだのが本当に敗因だと思います。
03:00
5章は代表的なセキュリティ機能ですね。
対策の方ですけど、こっちが71%なので、
僕はそっちの方が理解できてるっていうので、
ちゃんと具体でやったことは理解できている。
あとは体系だって知識としても理解しましょうっていうのが僕の課題だっていうのが感じですね。
あと6章文字コードセキュリティと1章のウェブアプリケーション脆弱性のところは100%で、
まあまあここはそうですよねって感じです。
2章の安全なウェブアプリケーションのための開発マネジメントっていうのが第2章なんですけど、
ここが50%でいやひどかったな。
僕はやっぱりマネジメントとしてちゃんとセキュリティと向き合ってなかったので、
社内で今セキュリティ推進委員会入ってるし立ち上げたんですけど、
僕がこれを点数低いのはちょっと恥ずかしくなりました。
そういうのをちゃんと可視化とか数字で自分の理解度を見たっていうところで、
これはこれとして現実を受け止めて頑張っていきたいと思いますけども。
まあでも感想としてはですね、
社内スラックの方にはすでに書いたんですけど、
これはめっちゃ良かった。
是非皆さん受けていただきたいなっていう試験でした。
特にウェブアプリケーションの開発のエンジニアであれば、
既存の社員の方々でも受けてほしいと思ったんですけど、
特にやっぱり診察の方ですかね。
もうすぐ4月入社の若手の子がたくさん入ってくださると思うんで、
そういう方々にまずもう会社の偽人を切ってでもしっかり受けていただいて、
セキュリティ対策とかセキュアな行動を書くっていうのをちゃんと意識づけをさせるって、
めちゃくちゃ大事だなって強く感じました。
結構網羅的に勉強できますし、
やはりセキュリティの対策の大事なのって、
やっぱこのクロスタイトスクリプティング、XSSと、
クロスタイトリクエストフォージェリーですね、CSRFと、
いわゆる何たらインジェクション系ですね。
SQLインジェクションもあるし、HTTPヘッダーインジェクションもあるし、
そういう何たらインジェクション系。
やはりこの3つに関してはもう、
当たり前に意識をして、当たり前に対策をしながら、
アプリケーション開発ができるっていうのがすごく重要だなってことは、
強く感じました。
実際それに関して、書籍でも第4章で、
もう多くページを取られています。
とても大事なところで、この3つをちゃんと、
言葉で、自分の言葉で説明できますねってところはまず理解をして、
実際どういうアタックの仕方をあるのかっていうのを理解して、
で、それの対策も自分たちでどうやるかっていうパターンですね。
書籍はだいたいPHPで、この試験自体が、
PHP技術者認定機構っていうところが出されている試験なので、
だいたいソースコードもPHPなんですけど、
そこは適宜別にNode.jsだったり、Pythonだったり、Rubyだったり、
どこで読み替えていただければよくて、
とにかくセキュリティ何も分かりませんの人は、
やはり徳丸本から入るはその通りだなっていうのは、
ちゃんと身で実感できたっていうのが大きかったですね。
一応僕この書籍ね、数年前に一回読み通して読んだんですけど、
改めて読み直したんですけど、
プライベートでいろいろバタバタしてたと思って、
06:02
事実上2日も読んでない。
10時間ぐらいしか時間取れてなくて、
10時間勉強しただけで合格一歩手前まで来れたってことは、
逆に言うと僕はそこまでウェブセキュリティに関して、
そんなに知識ないわけじゃないなっていうか、
曲がりなりにも10年間やった経験値は、
物を言うなってことは強く感じたので、
そこはほっとしましたけど、
それでも取れなかったのはすごく悔しいのでね。
一応ウェブセキュリティって書かれてはいますけど、
結局セキュリティの対策とか脆弱性のつけ方って、
ちょっとネットワークだったり、
インフラエリアに近いお話がたくさんあるので、
別にウェブセキュリティじゃなくて、
ネイティブアプリケーションの方も、
同じようにhttpで扱って、
APIと通信をするんであれば、
この辺知っといて全然損はないというか、
むしろ必要でしょうと感じたので、
頭のウェブつけなくてよくないかっていうのは思いました。
とはいえ、書籍に書かれている対象のアプリケーションは、
基本ウェブのお話なので、
全部はもちろんネイティブの方の対象にはならないです。
何割くらいかわかんないですけどね。
でもすごく、
かぶるとこはかぶると思いましたね。
なので、アンドロイド、iOS、
プラッタ、NGな方々も、
これは知っといていいというか、
受けた方がいいんじゃないのっていうのが
個人的な感覚ですが、
私は仕事でネイティブアプリ開発をしたことがないし、
僕がやったことあるのは、
Swiftを独学で学んだことと、
アパッチコールドワとか、
温泉UIとか、
アイオニックとか、
いわゆるハイブリッドアプリケーション開発のフレームワークだったり、
ネイティブアプリをいわゆる、
ネイティブソースコードで作り出すみたいな、
ビルドするときに、
iOS、アンドロイドにビルドするみたいなフレームワークが、
いろいろなのがたくさんあるんですけど、
それのいくつかでアプリケーション開発しただけなので、
結局僕の経験値はWebなんですけど、
それでもネイティブに
少しでも近づいたことがある身としては、
やっといて損はないぞっていうのは
強く思いましたので、
全エンジニアが受けた方が
良いものだと思いました。
実務試験の方が
13,200円、
基礎の方が
11,000何百円だった気がします。
2,000円くらいの差しかないですけど、
2,000円で10問増えるんだったら、
僕は13,000円の方がやっぱ良いなと思いましたね。
モーラ的にしっかり勉強できるというのもあるので。
マネジメントの話も入るっちゃ入るんですけど、
これは
PMの方は受けなくても
良いかなって感じです。
知ってて損はないですけど、
これは実装の話ではあるので、
もしPMの方が読むんだったら、
3章ですね、やっぱり。
5章も
知っておいて損はない。
あと7章、要はマネジメントのやり方とか、
開発とセキュリティとの
付き合い方というので、2章を勉強して、
3章で
どういう脆弱性があるのかっていうのを
ちゃんと座学的に教えてくださるので、
そこはやっぱり皆さん共通。
開発の領域にいる人たちは、
09:00
現場にいる人たちは全員受けて良いでしょう。
5章の
どういう風なセキュリティ対策を
するか。4章はソースコード
ありすぎるので、ちょっと読むの大変だろうな
と思うんで、そこはエンジニアの人に
言えば良いと思います。3章で1回知識としては
絶対入ってる。5章で
対策のお話を
軽く見て、で、7章で
脆弱性診断入門なので、
実際にSARS使ったり、
WASP、ZAPみたいなツールを使って
診断しましょうみたいな、これのやり方を
勉強して。8章は
より安全性を高めるためにっていう
話なので、最後の方はちょっと
エピローグに近い感はありますけど。とはいえ
大事なことも語られてますので、読むって感じですね。
なので、マネージャーの方は
対象として、この書籍の多分
4割ぐらいしか
4割もいかないかな。知らなくて良い
みたいな内容なので、興味ある人は読んでみて
損はないですが、PJMは
そうですが、PDMの方は
知っといた方がいいのかなって
僕は感覚的に思います。PDMの
スコープは難しいですけど。
はい、っていうところで。
とにかく大事なお話は
変わりましたけど、なんとやっぱり
XSSとCSRFと
○○インジェクションっていうのを
深く理解するっていうところはすごく
大事で、これ今でも全然起きる
課題ですし、いろんな脆弱性って
今でも内在し続けているので
今後何かシステムとかアプリケーションを
作る方は、そういうリスクを
伴うものを生み出してるってことを
理解して、また対策をしていきましょう。
フレームワークがいろんなものを
対策してくれたり、フレームワークが
ラップして機能を提供してくれてるので
意識しなくて良くなった世界は
もちろんありますが、フレームワークが
完全に対策をしてるとか
未来永劫万弱だ
みたいなことは100%ないので
そこをアタックするとか
新しいアタックの仕方っていうのも
世の中常に生まれ続けているので
フレームワークに頼るのはもちろん大事です。
自作するよりフレームワークとか
ライブラリーとか出してるものに頼る方が
まだ安全ですけど
それに依存しすぎるのも良くない。
ちゃんと意識はしてよく。
っていうことを具体的に
ソースコードを交えて勉強できる
良い書籍だと思いますので
うるさいですけど、ぜひ読んでみてください。
これはもうエンジニアの筆読書をですね
リーダブルコードと
同レベかな
いやそれより上かもしれないです。
現場ですごく役立つって意味では。
まあ別に比較するべきではないですけど
僕の中でちなみにリーダブルコードが
ちょっと深刻化しすぎてるのはあるんですけど
でもみんな一度はないし
人生2度くらい読んで
良い書籍じゃないかなと思ったりしますね
これは。やっぱり基礎って
プリミティブなお話がたくさんあって
でもそこを理解できてるかってのが
すごく大事なんですよね。その積み重ねとか
組み合わせで
良いものが作れるかって話は続いていきますのでね。
はい。っていうので
ぜひ受けていただければなと思います。で僕は
本当に悔しいですけど
あと2問取れなかったので
もう絶対リベンジして
今月中に取り切っていきたいかなと思ってます。
はい。今回はこんなところで
終わっていきたいと思います。
いつも聞いてくださり本当にありがとうございます。
ではまた次回の主力でお会いしましょう。
12:00
バイバイ。
