合格することだけを目的とするのではなく、事前学習の内容を全部ノウハウにする勢いで勉強を進めた坂下剛さん。そのかいあって、受験目的でもあった不安要素を解消し、大きな自信へと繋がったプロ根性について、お話を伺いました。

◆Vex Certification Associateの詳細はこちら
https://www.ubsecure.jp/training/ubsecure-certification/vex-certification-associate

合格者プロフィール

t.sakashita_profile_pictureAOSデータ株式会社 坂下剛 様

合格した認定資格 Vex Certification Associate
Vex利用年数 1年半
業務内容、Vexの利用シーン 自社サービスの内製診断、Webアプリケーション脆弱性診断サービスの提供
学習内容/時間 ラボ環境とテキストを活用して自己学習:30時間
模擬試験:1回

現在の業務

当社はデータ復旧およびフォレンジックサービスを提供しており、蓄積されたナレッジと技術力でお客様の大切なデータの復旧や調査に対応しています。他社では復旧が不可能だったケースでも、数多くの成功事例があります。
私もフォレンジック調査を幅広く担当しており、併せて、Vexを使った2パターンのWebアプリケーション診断(以下:診断)を実施しています。1つは自社で開発しているサービスに対しての内製診断、もう1つは他社製品に対しての外部向け診断です。もともと開発業務に従事していたこともあり、その経験を生かして現在の業務を遂行しております。

受験の目的

Vexの機能を全て使いこなせているか、アウトプット(トリアージする際の診断結果の一覧)を全て理解できているか不安に感じていました。そんな不安を解消すべく、受験することにしました。
VCAは事前学習のコンテンツが充実しているため、試験に合格することだけを目的にするのではなく、どれだけまじめに事前学習に取り組めるかが重要だと思います。私は内容全部をノウハウにしてやるぞ!ぐらいの勢いで勉強した結果、Vexを使いこなせるような感覚を持つことができました。受験してとてもよかったです。
また、先に話していた不安要素も解消され、さらなる自信をもって診断できるようになりました。

診断員のスキルベースラインとして利用可能か

受験する人が私と同じような気持ちで受けてほしいと思います。ただ合格すればいいやと思うのではなく、試験の答え以外の部分も含めて理解する気持ちで取り組むのであればスキルベースラインとして利用可能だと思います。
今回、私は学習コンテンツとして「VCAトレーニングラボ」を受講しました。付属のテキストは実践的な内容の記載が多く、不要なものは何一つありませんでした。この学習コンテンツと併せて実施することが、合格に向けての有意義な勉強に繋がるかと思います。

実業務と比較して、試験内容はどの程度再現できていたか

再現度が高いです!診断時の取り決めを記したヒアリングシートの内容もリアリティがあり、実案件とほぼ同じようなことを実施しているイメージです。
試験に事前調整の工程は含まれませんが、個人的には、「決済」の調整部分は是非マスターしておきたいところなので、対象に含まれていると嬉しいなと思いました。
欲を言えば、「報告書の作成」まであったら良かったです。ただ、内製診断を担当している方には不要な場合もあるので何とも言えないところです。。。トリアージした検出根拠(何をもって危険度の定義を上げたのか、下げたのか)を答えさせる問題があってもいいですね。そうすることでリアリティが増します!再現度の向上、むしろ実案件なのでは!となってきますね(笑)。

試験の難易度

ちょうどいいレベルだと思います。これ以上高いと、かなりハードルが上がってしまうと思います(笑)。

時間配分

シナリオを作成し、完璧なトリアージするのにぴったり5時間かかりました。ギリギリの絶妙な時間配分です!
トリアージをしている中で、シナリオの誤りに気づいて直すこともあるかと思います。さきほど話していたように、シナリオが綺麗に組めていると、直すのも簡単でスピードも短縮されます!
逆に、とりあえず繋げただけのシナリオの場合、直すのも難しく時間ロスにもなります。
これは実案件の診断でも言えることです。私の場合、シナリオを機能ごとに分けて組んでいたので、ちょっと仕様が変わった部分は、シナリオを少し直すだけで動いたのでとても効率的でした!

新規メンバーがVCA保持者であれば従来と比べて育成コストを軽減できそうか

VCAに合格した時点で一定の実力が証明されているも同然です。
故に、新規メンバーがVCA保持者である場合、OFF JTの過程は必要なく、すぐにOJTで実案件を通して育成できることを考えると、育成コストの軽減はかなり大きいと思います。

合格に向けて事前に理解しておくと良いポイント

合格のためだけにテキストを使ってしまうと、隅から隅まで見ないままになってしまいます。。。無駄になる知識はないので、テキストは隅から隅まで見ることをお勧めします!
そして、一番大切なのはシナリオの管理です。ハンドラで組み立てるのか、シナリオマップを使うのか、どちらか自分なりのやり方を極めておくと良いです。「使いまわしの機能」「移動」「コピー」「繋げ方」などをしっかり理解して、後から見返した時に分かりやすく組んでおくことが大切です。これらは、実案件にも大いに活用できます。
また、どこに対して診断を実施して、実施していないかを管理するために、診断結果を確認するときには、診断対象以外は表示されないようにフィルターすることも大切です。

合格した秘訣

Vexの基礎知識を予め持っていたことが有用だったと思います。
私はUBが用意している学習コンテンツの「Vex ハンズオントレーニング」を既に受講していました。その後「VCAトレーニングラボ」を受講して、トレーニングを順当に踏んでいったことが合格に繋がったのだと思います。

合格後、業務の変化

資格を有するメンバーが診断実施すると掲げられるところは、業務上大きな変化です。

どのような方へお勧めするか

Vexで診断をするために必要な知識を細かく学びたい人にお勧めします。
学習コンテンツの「VCAトレーニングラボ」は、テキストやラボ環境の内容がとても充実しているので、Vexについて効率よく一通り学べることが一番大きいです。学んだ結果、合格が待っています!
受験の目的でも話していた、不安要素を払拭したい、自分の認識が正しいのか確認したい方にもお勧めします。
そして、社内の内製診断をする方、及び診断ベンダーとしてサービスを提供する方にも活用できると思います。

 

インタビュー日/2021年8月実施