PULSEのブログ

資格の受験期、日々の勉強、たまに趣味など…

認定Webアプリケーション脆弱性診断士 セキュリスト(SecuriST)の合格体験記

認定ネットワーク脆弱性診断士 セキュリスト(SecuriST)を受験して無事合格しましたので、試験の勉強法や当日の感想などをまとめてみます。

レーニングの受講、認定試験の受験を考えている人に少しでも参考になれば幸いです!

 

※こちらは認定Webアプリケーション脆弱性診断士についての記事になります。認定ネットワーク脆弱性診断士についてはこちらに記載しております↓

認定Webアプリケーション脆弱性診断士とは

詳細については公式ページを参照してください。

www.gsx.co.jp

合格することで「脆弱性診断士」として認定されるので、一定スキルを保有している証明になります。

自分の前提知識について

某IT企業に入社して約3年がたちます。

業務では主に脆弱性診断をしていますので、基礎は元々ある程度はあったつもりではあります。

保有資格は応用情報、情報処理安全確保支援士(未登録)、CEH、認定ネットワーク脆弱性診断士など。

勉強期間・時間

2021年11月下旬に公式トレーニングを受講し、その1週間後に受験しました。

元々Webアプリケーションの脆弱性診断に関して一定の知識を持っていたこともあり、短時間でサクッと復習などをした感じです。

使用教材

  1. OWASP Japan 脆弱性診断士スキルマッププロジェクトの脆弱性診断士(Webアプリケーション)スキルマップ&シラバス


  2. 安全なWebアプリケーションの作り方 第2版

  3. 安全なウェブサイトの作り方

3については試験対策としては過剰になりますが、超オススメです!!!

セキュリティ業界で有名な徳丸浩先生が書いた名著で、Webアプリケーションのセキュリティを勉強するのであれば、避けては通れない一冊です。

私は公式トレーニングを受講しましたが、テキストは試験対策には使用しませんでした。(それ以上に教材2.や3.が優秀でした。)

勉強法

始めに教材1.のシラバスを参照して、Silver範囲のうち自信がないものをWebで調べてGoogle ドキュメントにまとめる、ということをしました。

そしてスキマ時間にGoogleドキュメントにまとめた内容を見返していました。

その上で教材3.を使用してWebアプリケーションの脆弱性について復習した上で、適宜教材2.も参照しながら、勉強していきました。

Silver範囲のスキルについては全て習得しておくべきだとは思いますが、特に教材.1の「Web関連技術」及び「Webアプリケーションの脆弱性」については、出題数も多く、特に勉強しておく必要がある印象でした。(Webアプリケーション脆弱性診断士の資格なので当たり前ですが…)

試験当日について

近くのテストセンターで申し込んで受験しました。

試験内容はセキュリティの基礎理論、Web関連技術、Webアプリケーションの脆弱性、診断実務など、シラバス記載の範囲から幅広く出題されていた印象です。ただ前述したとおり、Web関連技術やWebアプリケーションの脆弱性の分野が出題数は多く、かつ深い内容が聞かれている感じでした。逆にセキュリティの基礎理論や診断実務は基本的な問題が多かったです。

ネットワーク脆弱性診断士の試験では、4択のうち該当するものを複数選択する問題がぼちぼちあったのですが、このWebアプリケーション脆弱性診断士の試験では全て4択のうちから1つを選ぶ形式でした。

コーディングの理解が問われる問題や細かい知識を問われる問題など、やや難しい問題もあったものの、試験開始から約30分後に30問のうち23問は自信をもって回答できていたため試験終了したところ、26/30(86.7%)で合格していました。70%で合格かつ問題は基礎的な内容が中心でしたので、シラバスのSilver範囲の内容をきちんと理解していれば合格できると思います。

試験終了後は試験結果を印刷して持ち帰れました。

公式トレーニングについて

Webアプリケーション脆弱性診断をやる上で必要な基礎知識を一通り説明いただいたうえで、BurpSuite(https://portswigger.net/burp)やOWASP ZAP(https://www.zaproxy.org/)を使用して実際の診断業務を模したハンズオンを実施する、といったような内容でした。初学者や脆弱性診断をこれから始めるといった方には非常に有用な印象でしたので、受講をお勧めします。逆に言えば、脆弱性診断士ベテランさんにはちょっと物足りない内容なのかもしれません。

試験内容的にはトレーニング以外の勉強で事足りた印象ですので、この試験に合格して資格が欲しい!というだけであれば特に受講しなくても問題ないかと思います。

 

さいごに

脆弱性診断士をこれからやっていくぞ!という方にはおすすめできる試験であると感じました。

僕自身自己肯定感が低く、自分の能力に自信を無くすことが多いのですが、この資格を取得したことでWebアプリケーションの基礎はわかっているという証明が得られたと思えましたので、受験する価値があったと思っております。

この記事を見てひとりでも多くの認定ネットワーク脆弱性診断士の合格者が生まれればとってもとっても嬉しいです。

最後までお読みいただきありがとうございました!