Webアプリケーション脆弱性診断の業務経験が7年以上ある福本 貴都さん。脆弱性診断の「プロ」が、Vex Certification Associate(以下:VCA)の受験を通じて、チームメンバー向けのトレーニングとしてVCAを活用したいと語ります。VCAの実務の再現性やトレーニングの活用方法について、お話を伺いました。
◆Vex Certification Associateの詳細はこちら
https://www.ubsecure.jp/training/ubsecure-certification/vex-certification-associate
合格者プロフィール
サイバートラスト株式会社 福本貴都 様
合格した認定資格 | Vex Certification Associate |
Vex利用年数 | 7年 |
業務内容、Vexの利用シーン | Webアプリケーション脆弱性診断サービスの提供 |
学習内容/時間 | なし |
現在の業務
当社は、認証・セキュリティサービスやオンプレミス、クラウド、組込み領域向けのLinux/OSS等を利用した認証基盤サービスを展開しています。その中で、私はセキュリティサービスを提供する部門に所属し、主にWebアプリケーション脆弱性診断の実施とチームメンバーのトレーニングを担当しています。診断業務では、お客様から依頼のあったシステムに対して疑似的な攻撃を行い、脆弱性の有無を確認・報告しています。診断手法はツール診断と手動診断の2種類あり、ツール診断ではVexを使用しています。気づけば、Vexや診断業務に携わるようになって7年になりました。チームメンバーのトレーニングは、練習用サイトでの模擬診断や実案件におけるサブ担当などOJTを中心に実施しており、日々、診断業務とチームメンバーの育成に奔走しています。
受験の目的
私自身の診断スキルの確認と、チームメンバーのトレーニングとしてVCAの活用ができるかを検討するためです。チームメンバーのトレーニングは、実務をベースとしたOJTが中心なのですが、トレーナーとして負荷が大きく、トレーニングと診断業務の両立に課題がありました。VCAが実務をベースとした試験だと聞き、チームメンバーのトレーニングの一環としてVCAが活用できるか、実務とどのくらい紐づくかを確認したいと考えました。
診断員スキルのベースラインとして活用できる
Webアプリケーションの全体の動きを理解していないと解けない問題が多く出題されていて、診断員のスキルのベースラインとしてVCAが活用できると感じました。特に、OJTでトレーニングを進めると、アサインする案件によって必要となる検査シナリオの設定や遭遇する脆弱性が異なり、診断スキルがまばらになる傾向があります。その点、VCAでは幅広い知識と経験が求められるので、バランス良く、体系的にスキル習得が可能なところがよいと思いました。
学習方法
敢えて、VCA受験のための勉強はしていません。今回の受験は「VCAが診断員スキルのベースラインとして活用できるかどうかを確認すること」が目的だったためです。
実業務の再現性
最初にヒアリングシート(診断実施前に使用する質問票)を受け取ってから始まるところなど、まるで実案件を行っているような感覚でした。(VCA試験の際中に、)実案件でよくある突発的なお客様との調整はないのですが、それ以外はほぼ実業務に沿った内容( 試験ネタバレのため詳細割愛)でした。
試験の難易度
私自身は、日々業務で診断を実施しているということもあり、解答時間が足りないなどの問題はなかったです。試験問題を進める中で、全体のWebアプリケーションの動きを理解していないと、解答に詰まりそうなポイントが上手く埋め込まれているなぁという印象を受けました。「Vexの使い方だけ分かるレベル」だと、合格は難しいと思います。脆弱性診断全体の流れやWebアプリケーションの動きを理解したうえで、1年程度実務経験があればなんとか合格できるのではないか、と思います。
新メンバーがもしVCA保持者だったら?
VCA保持者であれば「診断ができる人」、「即戦力」として判断できると思います。 きちんとWebアプリケーション診断を理解していないと合格が難しい試験ですので、採用時のヒアリングだけでは把握しづらい診断スキルも、VCAによって担保されます。また、脆弱性診断を委託する際に、委託先にVCAを取得されているエンジニアの方がいれば安心してお願いできるとも思いました。
もちろん、いま在籍しているチームメンバーの育成やトレーニングとしても有効だと思います。
合格に向けて事前に理解しておくとよいポイント
前述の通り、「Vexが使える」、「ツール診断ができる」だけだと合格が難しいので、脆弱性診断業務の流れやWebアプリケーションの仕組み全体を理解することが大事だと思います。また、実案件同様、ヒアリングシートに注意すべき点などが盛り込まれているので、事前に注意深く確認するとよいです。ヒアリングシートをしっかりと確認する点などは、まさに実案件そのものですよね。
どのような方へVCA受験をお勧めするか
自分の診断スキルチェックに加えて、ツール診断だけでは物足りなくなってきた方や、Webアプリケーションの仕組みを理解できてきたので力試ししたい方など、「ツールを使えるようになった人」、「ツール診断ができる人」から次のステップに進みたい方に受験をおすすめします。
今後
チームメンバーにVCAの受験を勧めたいです。また、今回私は利用しなかったのですが、模擬試験環境がついた対策パック(VCA認定対策講義)があり、効率的に複数のサイトをOJTで学ぶ効果が期待できそうなので、必要なメンバーには学習環境として講座の受講も検討したいと思います。
インタビュー日/2021年4月実施