資格

徳丸基礎試験に合格したので勉強方法とか書く

2021年3月に、ウェブ・セキュリティ基礎試験(徳丸基礎試験)に合格したので、受験までに勉強したことや対策として注意することを書きます。これから受験する方の参考になればと思ってます。

この記事はこんな方向け
  • ウェブ・セキュリティ基礎試験(徳丸基礎試験)をこれから受験する予定の方

試験概要

公式サイト
https://www.phpexam.jp/tokumarubasic/

詳しくは公式サイトをみていただいた方がよいと思いますが一応まとめておきます

試験名称ウェブ・セキュリティ基礎試験(通称:徳丸基礎試験)
受験料1万円(学生さんはもっと安い)
試験時間1時間(体感的にはかなり余裕ありました)
設問数40問
問題形式すべて4択問題
試験形式CBT形式(テストセンターでパソコンに向かって受験する形式)
合格基準70%正解
難易度しっかり勉強すれば初心者でも合格可能(主観です)

徳丸皆伝パーカー欲しさ(笑)に合格体験記を書いたら掲載していただけました💖

この記事では勉強法とかもうちょっと詳しいこと書きます。

勉強開始時点のスペック:非エンジニア

私は、仕事でとあるSaaSサービスのセキュリティを守る仕事をしています。

ブログやTwitterでたまに書いてますが、エンジニアではありません。強いて言えばディレクターかもしれません。

エンジニアではないので開発はあまり得意ではありませんが、脆弱性の発生原理など基本的なことは当然理解する必要があることと、社内のエンジニアさんたちと共通言語を持つ必要性を感じて受験しました。

趣味でCTFとかやってたりします。あとIT業界歴は無駄に長く資格至上主義の クソ SES企業で揉まれていた時代もあるため、試験慣れしています(資格試験というのは結構慣れてる人と慣れてない人でパフォーマンスが変わってくると思う)

具体的にいうと、情報処理安全確保支援士(未登録)に、特に勉強しなくても受かる程度には前提知識がある状態で勉強始めした。
その他の取得資格はこのへんをどうぞ

受験までの総学習時間:10時間程度

私の場合は試験勉強を10時間程度確保しました。ほんとはもっとやるべきだったなーと思うのですがうっかり期末に試験を予約してしまったので普通に仕事が忙しかった。

完全にセキュリティ初心者でなんもわからん、徳丸本何それおいしいの?って状態の人だったら30〜50時間以上は必要だと思う。後述しますが徳丸本のVM使って手を動かしながら勉強して…とかやるなら時間がそれなりにかかると思うから。

念の為に補足しておくと、合格するだけならこれくらいでも良いんですが、完全に理解しようと思ったらこの10倍〜100倍は余裕で時間が必要っていうか人生捧げる覚悟が必要です…セキュリティは沼…だがそこが良い。

教材

体系的に学ぶ 安全なWebアプリケーションの作り方 第二版(徳丸本)

言わずもがな。まあこの試験を受けようって人で徳丸本知らない人はあんまりいないと思うので説明不要でしょう。

688ページの厚さで、重い。取り回しがあまりよくないので、私は紙バージョンと電子書籍バージョンを両方持っていて、試験勉強には紙、辞書的に参照するのは電子書籍、と使い分けています。

Webブラウザセキュリティ Webアプリケーションの安全性を支える仕組みを整理する

試験勉強用に買ったわけではないのですが、補助教材として良いので目を通すことをおすすめします。

サービス側から見たWEBセキュリティの徳丸本に対して、ブラウザ側から見たWEBセキュリティという立ち位置の違いがあって面白く読めます。

SOPとかCORSとかの概念はブラウザのほうが当事者なので(当事者という言葉が正しいかわからんけど…)徳丸本より説明が丁寧で、あわせて読むとより立体的に理解ができるようになる気がします。

学習戦略:3章〜4章を重点的に理解する

戦いを略すと書いて戦略です。分厚い徳丸本をまともに相手していたら時間がいくらあっても足りません。いや、時間かけるのは良いことなんですけどね。

私は何かの資格試験を受けるときはまず「受験記」とか「合格体験記」とかで検索するのですが今回もそうしました。こちらの記事が大変参考になりました。ありがとうございました。

上記記事を読んで私は以下の通り学習しました

  1. 3章〜4章を通読して自分なりにまとめる【8時間】
    • 誰に見せるでもないので、自分の言葉でEvernoteにまとめてました(直前にスマホで見直せるように)
    • その際、付属のVMを使ってポイントで手を動かす(全部はやらない、時間かかるから)もちろんできる方は手を動かしながらやったほうが理解度が上がると思います。
    • わかったようなわからんような…ってところはインターネッツで調べたり本を読んだりする(ハラオチ感が何より大事)
  2. 前日に他の章をざーっと読む【2時間】
  3. 直前にまとめたEvernote見直す

要するに時間配分を工夫した感じです。徳丸本の章立てとページの割合をみるとわかるのですが、本編は4章です、4章の前提知識となるのが3章なので、3章〜4章を重点的に理解するのがめっちゃ大事です。

そこさえ理解できていればあとは流してもどうにかなるだろうという計算でした。
(いやもちろん他の章も大事なのでちゃんと勉強しましょうね)

結果:合格

計算通り、700点で合格のところを825点取得で合格できました。

問題は全部で40問ありますが、完全にお手上げだったのは2問しかなかったと記憶しているのでどこを間違えたんだ…気になる。

試験時間は1時間ですが20分程度余ったと思います。もっと見直せばよかったかも。

受験に関するTips

予行問題集動画は見ておいたほうが良い

問題集とかが市販されているわけではないので、せめて公式の動画に目を通しておくと問題のイメージができて良いと思います。

徳丸本を読みやすくする

徳丸本に限らず情報処理技術者試験とかもそうなんですが、参考書が重くて読みづらいことってありますよね。

私は読みやすくするために、徳丸本を「1〜3章」「4章」「5章以降」の3つに分冊しました。

製本テープで背表紙を補強し、透明なクリアファイルを切って表紙にして、スピン(文庫本とかについてる紐のしおりのこと、あると便利)をつけて、あと4章は脆弱性の内容ごとにインデックスを貼っています。

(徳丸先生ごめんなさい)

スピンってあんまり一般的じゃないかも。こういうやつです

本が分厚いので太めのテープじゃないと留まらない。

ここまでやるとだいぶ読みやすくなります。おすすめはしないですが、分厚い本を読むのが苦手な方は自己責任でお試しあれ。
私は他の資格試験の参考書とかも結構この方法で分冊していたりします。

試験中は選択間違いに注意

設問は4択なのですが、聞かれ方が「○○であるものを選べ」というのと「○○ではないものを選べ」というのが結構バラバラと入り乱れており、注意はしていたものの多分うっかり選択間違いしてそうだなと思いました。

当然ですが問題文はちゃんと読んで落ち着いて解答しましょう。
あと面倒くさくなっても見直しはちゃんとしよう。

まとめ

徳丸試験に合格するまでにやった勉強と、細かいコツをお伝えしました。

試験は合格してからがスタートみたいなところがあると思います、これからも勉強がんばりましょう〜。