ユービーセキュア(UB)広報担当の別宮スミレです。
Webアプリケーション脆弱性診断の業務経験が3年以上ある現役の診断士様に、ご自身のスキルレベルの確認のため受験したVex Certification Associate(以下:VCA)の内容についてインタビューしました。自社のスキル指標として活用できると実感していただき、試験の絶妙な時間配分や、スキルレベルの設定にご納得いただいたお話を伺いました!
◆Vex Certification Associateの詳細はこちら
https://www.ubsecure.jp/training/ubsecure-certification/vex-certification-associate
合格者プロフィール
某IT企業 診断実施に携わっている診断士 様
合格した認定資格 | Vex Certification Associate |
Vex利用年数 | 3年 |
業務内容、Vexの利用シーン | Webアプリケーション脆弱性診断 |
学習内容/時間 | なし |
現在の業務
別宮:現在の業務内容について教えてください。
診断士様:当社は、金融、製造、流通、サービス、通信など多様なお客様に、コーポレートITからビジネスITまで、さまざまな課題やニーズに応えるITソリューションを提供しています。その中で、私が所属する部署では、リリースするシステムのセキュリティ確保のため、脆弱性診断を実施しています。
別宮:どれくらいの人数で診断を実施されていますか?
診断士様:約15名のメンバーがVexを活用したWebアプリケーション診断(以下:診断)を実施しています。私自身は、プレイヤーとしてVexを使った診断に加えて、お客様との調整および案件の取りまとめを担当しています。
VCA受験のきっかけ
別宮:VCA受験のきっかけを教えてください。
診断士様:自分がどれだけできているのか、スキルレベルの確認のために受験しました。
別宮:受験してみてどうでしたか?
診断士様:合格したことにより、これまで培ってきた診断技術やVexを十分活用できていることに確固たる自信を持つことができました。 また、他のメンバーに診断を割り当てる際の判断基準や、自社内のスキル指標としても活用できると感じました。
診断員スキルのベースラインとして活用できる
別宮:VCAは診断員スキルのベースラインとして活用できるでしょうか?
診断士様:VCA受験により、受験者自身はできること/できないことが分かり、次に身につけるべきスキルが明確になります。診断業務をアサインする立場としては、誰に何を依頼するかの判断材料になり、リソースの有効活用につなげることができます。
特にテストシナリオを作成し、Handlerを設定する項目については、パスワードの設定や値の引継ぎなど、ツール診断において必要なポイントが一通り組み込まれており、診断員スキルのベースラインとして活用できると思います。本試験では脆弱性有無のみで、危険度の判定までは問われないのですが、トリアージに関しては、診断会社ごとにツール結果の判定基準が異なるケースもあるので、判断に迷う部分があると感じました。
実業務の再現性
別宮:実業務の再現性はどうでしたか?
診断士様:ヒアリングシート(診断実施前に使用する質問票)を読み込み、お客様の要件に合わせてツールを回して診断を実施しなければいけないところが、実業務に近いです。実業務でよく発生する、ツール診断を実施するうえで気をつけなければいけないポイントを意識しながら、受験しました。
別宮:試験時間の配分はいかがでしたか?
診断士様:試験時間の設定は絶妙でした!
通常の業務でも、お客様と約束した時間内で診断業務を完了する必要があります。本試験でも、実務同等のスキルや知識がないと一通りの出題ドメインを解答するには厳しい時間設定になっているので、スキルレベルの確認という意味ではちょうどいい時間設定でした。集中して取り組まないと終わらないと感じて、途中、冷や冷やしながら進めていました。
試験の難易度
別宮:試験の難易度はどうでしたか?
診断士様:率直な感想で言うと、VCAは上中下(Entry、Associate、Professional)で言うと中のレベルに値する試験でありながら、結構レベルが高いなと感じました。
別宮:診断業務1年ぐらいの実務経験者がVCAに挑むのはどうでしょうか?
診断士様:診断業務3年で培った現在のスキルレベルであれば、問題なく進められましたが、診断業務1年程度の実務経験では難しかったと思います。
育成課題に活用できる
別宮:VCAは育成課題に活用できるでしょうか?
診断士様:ツール診断の習熟度の確認に活用できると思います。弊社では自社内の「やられサイト」に対する模擬診断やOJTを中心に新人向けのトレーニングを実施しています。アサインされる案件によって比較的簡単なサイトの診断しか経験してこなかった場合、実はWebアプリケーションの仕組みをきちんと理解できておらず、難しいサイトの案件にアサインされると苦戦している姿を見かけることがあります。
VCAでは特殊なケースを含めた課題が万遍なく出題されるため、それをクリアできたのであれば、ほとんどの案件でツール診断ができるとみなしてよいと思います。クリアができない場合は、VCAのトレーニングメニューの受講を検討してもよいと思います。(今回私は受講していないのですが、、、)VCAのトレーニングメニューの受講や合格を通じて、先に述べたようなアサインされる案件によるスキルレベルのバラツキも払拭できると思います。
合格に向けて事前に理解しておくとよいポイント
別宮:合格に向けて事前に理解しておくとよいポイントを教えてください。
診断士様:診断業務で必要なスキルが一通り問われる試験になるので、セッションを始めとするWebアプリケーションの挙動や検査ツールの特性・設定方法をあらためて確認しておくことが、合格に繋がるのかなと思います。
事前準備
別宮:事前準備は何かされましたか?
診断士様:試験の公開情報(https://www.ubsecure.jp/training/ubsecure-certification/vex-certification-associate)を確認しました。特に、対象一覧の書き方が自社と異なるため、どこを指しているのか間違えないよう事前にヒアリングシートを読み込みました。
どのような方へ受験をお勧めするか
別宮:どのような方へ受験をお勧めしますか?
診断士様:新人や、診断業務1年程度の実務経験者の力試しにお勧めします。
パートナーを引き入れる場合、VCA保持者であればより安心して受け入れができ、教育コストの削減にも繋がるため、派遣会社にもお勧めできます。
また、即戦力になることをアピールできるため、診断会社に転職したい方も活用できると思います。
もちろん、私のように自分のスキルを確認したい、資格を増やしたい人にもお勧めです。
インタビュー日/2021年5月実施