ウェブ・セキュリティ試験とは
試験概要
全世界で稼働しているWebサイトは5億サイトになりました。企業にとっても重要な位置づけになるため、サイバー攻撃の対象となるケースも増え、攻撃手法も複雑かつ巧妙になってきています。よってウェブ・セキュリティに対する対策は以前よりまして緊密且つ迅速に施さなければなりません。ユーザ、開発者に対してより一層のウェブ・セキュリティに対する意識と知見を高めるべく、本試験を実施いたします。本試験の主教材はウェブ・セキュリティの名著として知られる徳丸浩氏による「体系的に学ぶ 安全なWebアプリケーションの作り方 第2版」を採用し、本書を基本的な出題範囲として基礎的な知見を問う試験と実務知識を問う試験を実施いたします。
ウェブ・セキュリティ基礎試験 ・ ウェブ・セキュリティ実務知識試験
受験料
| 試験科目 |
時間 |
受験料(一般) |
受験料(学割) |
| ウェブ・セキュリティ基礎試験 |
60分 |
¥11,000 |
¥5,500 |
| ウェブ・セキュリティ実務知識試験 |
75分 |
¥13,200 |
¥6,600 |
※学割で受験するには、試験当日に学生である必要があります。詳しくは学割についてをご覧ください。
ウェブ・セキュリティ基礎試験
| 項目 |
内容 |
| 問題数 |
40問 |
| 出題形式 |
選択式 |
| 試験方法 |
コンピューター上で実施するCBT(Computer Based Testing)形式 |
| 試験時間 |
60分 |
| 合格基準 |
7割正解 |
| 出題範囲 |
| 項 目 |
1章 Webアプリケーションの脆弱性とは
1.1 脆弱性とは、「悪用できるバグ」
1.2 脆弱性があるとなぜ駄目なのか
1.3 脆弱性が生まれる理由
1.4 セキュリティバグとセキュリティ機能
1.5 本書の構成
1.6 セキュリティガイドラインとの対応 |
2章 実習環境のセットアップ
2.1 実習環境の概要
2.2 Firefoxのインストール
2.3 VirtualBoxのインストール
2.4 仮想マシンのインストールと動作確認
2.5 OWASP ZAPのインストール
2.6 Firefoxの拡張FoxyProxy-Standardのインストール
2.7 OWASP ZAPを使ってみる
2.8 Webメールの確認 |
3章 Webセキュリティの基礎 ~ HTTP、セッション管理、同一オリジンポリシー
3.1 HTTPとセッション管理
3.2 受動的攻撃と同一オリジンポリシー
3.3 CORS(Cross-Origin Resource Sharing) |
4章 Webアプリケーションの機能別に見るセキュリティバグ
4.1 Webアプリケーションの機能と脆弱性の対応
4.2 入力処理とセキュリティ
4.3 表示処理に伴う問題
4.4 SQL呼び出しに伴う脆弱性
4.5 「 重要な処理」の際に混入する脆弱性
4.6 セッション管理の不備
4.7 リダイレクト処理にまつわる脆弱性
4.8 クッキー出力にまつわる脆弱性
4.9 メール送信の問題
4.10 ファイルアクセスにまつわる問題
4.11 OSコマンド呼び出しの際に発生する脆弱性
4.12 ファイルアップロードにまつわる問題
4.13 インクルードにまつわる問題
4.14 構造化データの読み込みにまつわる問題
4.15 共有資源やキャッシュに関する問題
4.16 Web API実装における脆弱性
4.17 JavaScriptの問題 |
5章 代表的なセキュリティ機能
5.1 認証
5.2 アカウント管理
5.3 認可
5.4 ログ出力 |
6章 文字コードとセキュリティ
6.1 文字コードとセキュリティの概要
6.2 文字集合
6.3 文字エンコーディング
6.4 文字コードによる脆弱性の発生要因まとめ
6.5 文字コードを正しく扱うために
6.6 まとめ |
7章 脆弱性診断入門
7.1 脆弱性診断の概要
7.2 脆弱なサンプルアプリケーションBad Todo
7.3 診断ツールのダウンロードとインストール
7.4 Nmapによるポートスキャン
7.5 OpenVASによるプラットフォーム脆弱性診断
7.6 OWASP ZAPによる自動脆弱性スキャン
7.7 OWASP ZAPによる手動脆弱性診断
7.8 RIPSによるソースコード診断
7.9 脆弱性診断実施上の注意
7.10 まとめ
7.11 脆弱性診断報告書のサンプル |
8章 Webサイトの安全性を高めるために
8.1 Webサーバーへの攻撃経路と対策
8.2 成りすまし対策
8.3 盗聴・改ざん対策
8.4 マルウェア対策
8.5 まとめ |
9章 安全なWebアプリケーションのための開発マネジメント
9.1 開発マネジメントにおけるセキュリティ施策の全体像
9.2 開発体制
9.3 開発プロセス
9.4 まとめ |
|
| 合格証 |
合格した方には、受験から4~6週間以内に合格証を郵送します。 |
※同一科目を複数回受験する場合には、再受験に関するルールがございます。詳しくは再受験に関するルールをご覧ください。
詳しくは公式サイトをご覧ください。
ウェブ・セキュリティ実務知識試験
| 項目 |
内容 |
| 問題数 |
50問 |
| 出題形式 |
選択式 |
| 試験方法 |
コンピューター上で実施するCBT(Computer Based Testing)形式 |
| 試験時間 |
75分 |
| 合格基準 |
7割正解 |
| 出題範囲 |
| 項 目 |
1章 Webアプリケーションの脆弱性とは
1.1 脆弱性とは、「悪用できるバグ」
1.2 脆弱性があるとなぜ駄目なのか
1.3 脆弱性が生まれる理由
1.4 セキュリティバグとセキュリティ機能
1.5 本書の構成
1.6 セキュリティガイドラインとの対応 |
2章 実習環境のセットアップ
2.1 実習環境の概要
2.2 Firefoxのインストール
2.3 VirtualBoxのインストール
2.4 仮想マシンのインストールと動作確認
2.5 OWASP ZAPのインストール
2.6 Firefoxの拡張FoxyProxy-Standardのインストール
2.7 OWASP ZAPを使ってみる
2.8 Webメールの確認 |
3章 Webセキュリティの基礎 ~ HTTP、セッション管理、同一オリジンポリシー
3.1 HTTPとセッション管理
3.2 受動的攻撃と同一オリジンポリシー
3.3 CORS(Cross-Origin Resource Sharing) |
4章 Webアプリケーションの機能別に見るセキュリティバグ
4.1 Webアプリケーションの機能と脆弱性の対応
4.2 入力処理とセキュリティ
4.3 表示処理に伴う問題
4.4 SQL呼び出しに伴う脆弱性
4.5 「 重要な処理」の際に混入する脆弱性
4.6 セッション管理の不備
4.7 リダイレクト処理にまつわる脆弱性
4.8 クッキー出力にまつわる脆弱性
4.9 メール送信の問題
4.10 ファイルアクセスにまつわる問題
4.11 OSコマンド呼び出しの際に発生する脆弱性
4.12 ファイルアップロードにまつわる問題
4.13 インクルードにまつわる問題
4.14 構造化データの読み込みにまつわる問題
4.15 共有資源やキャッシュに関する問題
4.16 Web API実装における脆弱性
4.17 JavaScriptの問題 |
5章 代表的なセキュリティ機能
5.1 認証
5.2 アカウント管理
5.3 認可
5.4 ログ出力 |
6章 文字コードとセキュリティ
6.1 文字コードとセキュリティの概要
6.2 文字集合
6.3 文字エンコーディング
6.4 文字コードによる脆弱性の発生要因まとめ
6.5 文字コードを正しく扱うために
6.6 まとめ |
7章 脆弱性診断入門
7.1 脆弱性診断の概要
7.2 脆弱なサンプルアプリケーションBad Todo
7.3 診断ツールのダウンロードとインストール
7.4 Nmapによるポートスキャン
7.5 OpenVASによるプラットフォーム脆弱性診断
7.6 OWASP ZAPによる自動脆弱性スキャン
7.7 OWASP ZAPによる手動脆弱性診断
7.8 RIPSによるソースコード診断
7.9 脆弱性診断実施上の注意
7.10 まとめ
7.11 脆弱性診断報告書のサンプル |
8章 Webサイトの安全性を高めるために
8.1 Webサーバーへの攻撃経路と対策
8.2 成りすまし対策
8.3 盗聴・改ざん対策
8.4 マルウェア対策
8.5 まとめ |
9章 安全なWebアプリケーションのための開発マネジメント
9.1 開発マネジメントにおけるセキュリティ施策の全体像
9.2 開発体制
9.3 開発プロセス
9.4 まとめ |
|
| 合格証 |
合格した方には、受験から4~6週間以内に合格証を郵送します。 |
※同一科目を複数回受験する場合には、再受験に関するルールがございます。詳しくは再受験に関するルールをご覧ください。
詳しくは公式サイトをご覧ください。
再受験に関するルール
- 同一科目に対して2回目の受験については制限がありません。
- 3回目以降の受験は前回の試験日から7日間(24時間×7=168時間)は受験できません。
- 再受験ルールは、前回の試験終了時刻から次回の試験開始時刻までの期間(時間)をルールの日数(時間)だけ空けていただきます。
- 受験者がルールに違反した場合、すでに取得した資格の認定取り消し、および受験資格を永久に失う可能性があります。
学割について
試験当日に、学生証もしくは教員証を提示した小学校、中学校、高等学校、短期大学、大学、大学院、高等専門学校、専修学校、専門学校ほか、PHP技術者認定機構の認める学校に在籍する児童・生徒・学生・教員の方が学割価格の対象となります。
- 【PHP技術者認定機構が認める学校、学生】
- 予備校生(本科生、学割証の発行される予備校生)
- 各種学校で1年以上の連続した就学期間による授業が定められたコースに通う学生(学割証の発行される学生)
- 留学生などでISIC(International Student Identity Card)を所持している者
- 盲学校、聾学校、養護学校
- 放送大学(全科履修生のみ)、防衛医科大学校、気象大学校、海上保安大学校、航空保安大学校、水産大学校、航空大学校、農業者大学校、海技大学校、職業能力開発総合大学校、各職業能力開発大学校、職業能力開発短期大学校、農業系の大学校・短期大学校、産業技術系の大学校
- 通信制大学の正科生(4年制大学卒業資格が取得可能なコースを履修されている方。科目等履修生・特修生は対象外)
- お申込み時の注意事項
- 受験のお申込み時に、試験科目詳細欄で(学割)試験を選択し、学校名と学年をご記入ください。学校名・学年のいずれか一方でも記入がない場合は一般価格でのお申込みになります。
- 受験当日の注意事項
- 試験当日学生証を持参いただき、受付の際に提示してください。提示いただけない場合は受験いただけません。
