Vex Certification Associate(以下:VCA)とEntry(以下:VCE)の両資格を制覇した梶原直樹さん。自分の「診断力」を試したいと受験に至り、合格が大きな「自信」につながっていると語ります。VCA合格のポイントや業務にもたらした変化について、お話を伺いました。

◆Vex Certification Associateの詳細はこちら
https://www.ubsecure.jp/training/ubsecure-certification/vex-certification-associate

◆Vex Certification Entryの詳細はこちら
https://www.ubsecure.jp/training/ubsecure-certification/vex-certification-entry

合格者プロフィール

梶原直樹様_profile_picture富士ソフト株式会社 沖縄開発センター 梶原直樹 様

合格した認定資格 Vex Certification Associate、Vex Certification Entry
Vex利用年数 1年半
業務内容、Vexの利用シーン Webアプリケーションの脆弱性診断
開発物のお客様納品前チェック
学習内容/時間 研修(対策講座): 2日間
復習(模擬試験環境での学習):19時間
模擬試験:1回

現在の業務

当社は主に組込制御系システムや業務系システムなどのシステム開発・運用を提供する会社です。その中で、私が所属する沖縄開発センターでは、開発物に対するお客様への納品前チェックとして社内向け脆弱性診断サービスを提供しています。2~3名のチームでVexを使ったWebアプリケーション診断(以下:Webアプリ診断)を実施しています。現在、社内のVexを使ったWebアプリ診断の殆どはわれわれのチームで担当しています。私自身は、プレイヤーとしてVexを使って診断することも、レビュアーとして他のメンバーの診断結果を確認することもあります。

※富士ソフト様のVexの導入事例詳細はこちらをご参照ください
 URL:https://www.ubsecure.jp/case_study/example_2020/e_20200701

受験の背景

Vexを使ったWebアプリ診断業務に携わるようになってから約1年半が経過し、Vexの操作はできるようになったと感じるものの、本当に正確な診断ができているのかという漠然とした不安がありました。半分独学で進めてきたこともあり、「本当にこれでいいのか」という疑問が生じていました。自分の「診断力」はどれくらいなんだろう、どうやったら測れるんだろうと思案していた矢先に、この資格(VCA)に出合いました。まさに、「ナイスタイミング、これはチャンスだ!」と思いました。実は、Vexを使ったWebアプリ診断業務を始めたころ(2019年8月)にVCE(VCAの下位資格)がリリースされて、すぐに受験しています。自身の成長スピードとあわせて上位の資格試験もリリースされたので、両資格ともリリースのタイミングがちょうどよかったです。

事前知識

VCAはハンズオンで行う実技試験ということもあり、知識としてVexを知っているだけでなく、実務ベースでのVexの使い方をマスターしていないと太刀打ちできない内容だと感じていました。

学習方法

「VCA認定対策講義」パックに含まれている、「2日間の対策講座」の受講、「模擬試験環境」での自己学習を19時間、「模擬試験」を1回受験しました。対策講座の受講により、自己流だったシナリオ作成などの手順を修正できたことが、診断作業の効率アップにも寄与し、合格につながったと思います。事前学習なしで受験していたら、時間が足りず、合格への難易度はもっと高かったと思います。

試験の難易度

出題ドメインは「シナリオ」、「トリアージ」、「アタック」の3つ。「シナリオ」と「トリアージ」は、講座で習得した知識を活かして手戻りなくVexを設定できれば、そんなに難しくない印象でした。一方、「アタック」は突破するのにハッカー的な視点が必要となるため、私としては難易度が高かったです。普段の診断業務で行っている開発物の納品チェックでは、脆弱性を見つけることはあっても、その脆弱性を利用して疑似攻撃してみることは殆どありません。とても新鮮に感じましたし、視野を広げることにもつながりました。

こちらも読む

合格のポイント

機能別の検査シナリオの設定、Vexの特性を踏まえたトリアージの2つを重点的に学習しました。模擬試験ではタイムオーバーとなってしまったのですが、制限時間内に回答を終えるには、アプリケーションの仕様を的確に分析し、正確で効率的なテストシナリオ設計が必要であることが分かりました。また、トリアージに関しては、よく模擬試験で出題されている印象があったので確実に抑えようと思い、復習にも力をいれました。

合格後、業務の変化

診断効率は格段に上がりました。これまでは、まず画面遷移図やシナリオマップ機能を利用してシナリオを設定し、上手くいかない場合にHandler機能を駆使するというトライアンドエラーで進めていました。受験後は学習した内容を踏まえて、事前にサイトの機能や画面遷移をイメージした上で検査シナリオを設定するようになり、効率よく診断業務が進められています。また、自信をもって「トリアージ」ができるようになったことが、個人的に一番大きいです。ツールが出力する検査結果を確認する観点や方法が分かったことで、過検知の精査やレビューの精度が高まった実感があります。トリアージの精度向上により、開発メンバーからの過検知に関する質問や指摘も減り、結果報告後のQ&Aにかかる工数も削減できました。

詳細・お申込みはこちら

実務に直結する資格がコンセプトのVCA、実業務の再現性

VCAは、サイト特性に応じた診断や勘所を網羅していると思います。たとえば、オリジナルトークンを使ったWebサイト等、Handler機能が必要となる難易度の高い技術を駆使した診断などもカバーしており、普段の診断業務を再現できている試験内容でした。難易度は少し高いと感じましたが、実業務にもしっかりと活用できる内容だと思います。

どのような方へ受験をお勧めするか

私のように、第三者の目線で「自分の診断力を試したい」という方に受験を強くお勧めしたいです。また、診断結果をレビューする立場の方にもお勧めします。合格できたことで、自信をもってVexを使った診断ができるだけでなく、検出結果の判断や、他のメンバーへのアドバイスができるようになったと感じています。

受験してよかった?

はい。前述の通り、VCAの研修や試験の受験がチーム内での作業手順を見直すきっかけにもなり、組織として作業の効率化が図れました。また、「トリアージ」に自信がもてたことで、他のチームメンバーが悩んでいるときに、すぐアドバイスやサポートができるようになったのも大きいです。個人として取得した資格ですが、結果的にチームに貢献できている実感があります。他のチームメンバーにも受験を推奨しています。

今後

現在は、情報処理安全確保支援士の資格取得を目指しており、4月受験に向けて勉強を進めています。

 

インタビュー日/2021年3月実施


詳細・お申込みはこちら