次の資格試験目標としてウェブ・セキュリティ基礎試験を受験したく、準備をはじめました。 ちょっとそのことを書こうと思います。
目次
ウェブ・セキュリティ基礎試験とは
こちらをご参照ください。
試験範囲は「体系的に学ぶ 安全なWebアプリケーションの作り方 第2版」(以下、徳丸本)です。
受験のキッカケ
私は所属企業で、公開ウェブサイトのセキュリティ対策の推進を担当しています。 担当になってからそこそこ年数は積みましたが、
- 知識を定着させて、迅速で適切な判断を自信を持ってできるようになりたい。
- ウェブセキュリティの重要さを話せる人材になりたい、
- 新しくウェブサイトセキュリティ対策の担当者になった際に、教育できるようになりたい、
などなど、思う所もあり勉強と受験をすることにしました。 業務担当の関係もあり、徳丸本(第二版)は発売された段階で購入していました。 そのため、受験における追加コストをかけずすぐに挑戦開始できるため、 四の五の言わずとりあえずやってみようと思った次第です。
まず1章を読みなおして
「脆弱性があると顧客に嘘をつくことになる」
この言葉の通りだなと思いました。 個人店舗に例ると、お店を開いている以上、店員や店長はその道のプロであるという前提でお客様は買い物に来るはずです。 聞かれたことには答えられるようにしておかないとカッコ悪いし、お客様によっては二度とそのお店には来ないと思います。
ウェブサイトも同じだと思いました。 顧客は公開されているウェブサイトを安全であること前提で見に来ます。 見に行ってウイルス感染した、別サイトへの攻撃に加担したなんてことがあったら目も当てられません。
脆弱性が生まれる理由としては、
- バグによるもの
- チェック機能の不足によるもの
の2つ。脆弱性をまったく対応しないのは論外ですが、目に見えるバグ(脆弱性)を適切に対応する必要があります。 それでも、すべて完璧になくすのは難しい、チェック機能がなくても安全だったものが安全でなくなる、といったことが考えられますが、 新しくできた穴を突かれることで顧客に嘘をつくことになって顧客の信用を落とさないよう、努力し続けなければならないと思いました。 1章を読んで気が引き締まりました。
受験までの予定
今は徳丸本を読みなおしています。今後は勉強して理解したことをここに書いていければなぁと思います。 理解したことをちゃんと書ければ大丈夫なはず。大幅に間違っていることを書かないよう注意しないと…
個人的に忙しいのと、ある程度理解を深めてから臨みたいため、試験は来年3月を予定しています。
他にも読みたい本があったり、勉強したいことがたくさんあるので、時間を作るのが大変ですが楽しく勉強していこうと思います。 無理だけはしないように頑張っていこうと思います。
今回は決意表明的なものにして、今日はここまでにしようと思います。読んでいただき、ありがとうございました!!