令和6年度システム監査技術者試験(AU)合格体験記

システム監査技術者試験IPA合格画面
令和6年度秋期のシステム監査技術者試験(以下、AU)に一発合格できました。🎊

他の高度試験と比較して合格体験記が少ないことや、
自分が監査未経験の20代であること、また、完全独学で合格したことなどから、
私の体験が誰かにとって少しでも意味のある内容になればと思い、体験記を作成します。

システム監査技術者試験(AU)とは?📖

詳細についてはIPA公式の説明をご覧ください。
システム監査技術者試験 | 試験情報 | IPA 独立行政法人 情報処理推進機構

本試験の合格率は14 ~ 16%、合格者平均年齢は40代前半(他高度試験と比較して最年長)です。
また、論文試験百戦錬磨の猛者、かつ、監査未経験者の受験者がとても多いことが特徴です。
システム監査技術者 試験の特徴と難易度 | IT資格の歩き方

自身の受験時ステータス👶

  • 監査未経験の20代
  • IT業界の経験は2年未満
  • 保有資格

ちなみに、論文試験は学生時代の「中小企業診断士」以来、5年ぶりの挑戦でした。

学習方法と学習時間📚

私は完全に独学でしたが、あまりオススメはできません。
(引越しなど家庭の事情による金欠が理由で、紙の印刷すらしていない...。)

学習のおおまかな流れ:

  1. 「情報処理教科書」と「システム監査基準」で前提知識を習得(5月後半 ~ 7月末)
  2. 「合格論文の書き方」で論文の基本を学ぶ(8月中)
  3. 過去問演習(午後I・午後II)(9月前半 ~ 試験直前)
  4. 論文ネタ作成(9月後半 ~ 試験直前)

総学習時間:

約290時間です。 午後IIに比重を置きました。
以下詳細です。

情報処理教科書 システム監査技術者 2023~2024年版 (EXAMPRESS) [ 落合 和雄 ] : 約100時間

(↑アフィリエイトリンク貼っといてアレですが、2025年版が発売されたら絶対そっちを買いましょう。)

学習の序盤から終盤まで使ったテキストです。
序盤では、「監査独特の表現」を把握することに努め、各章末付録の過去問解答は午前問題のみに留めました。

学習の順序としては、「情報処理教科書」を一通り読み終わったら、「合格論文の書き方」(後述)の第一部までを読み、その後、「情報処理教科書」付録の午後問題を解く、といった流れです。

余談ですが、応用情報や支援士の「情報処理教科書シリーズ」と比較して、AUの「情報処理教科書」は物理的に厚みがないです。
とはいえ、学習量が少なく済むわけではありません。実際には、読むべき資料が多岐にわたり、必要とされる前提知識の範囲も非常に広いです。

システム監査技術者合格論文の書き方・事例集第6版 情報処理技術者試験対策書 [ 岡山昌二 ] : 約90時間

(↑アフィリエイトリンクです。)

前述の情報処理教科書である程度前提知識を理解したら、この「合格論文の書き方」に着手しました。
まず、論文とは何なのか、そして、論文の"お作法"などを初心者にもわかりやすく解説しています。

読み始めて最初に驚いたのは、著者がさしあたって論文を書くことを推奨していないことでした。
(他のテキストやブログでは、「とりあえず論文書いてみよう」と推奨されていることがほとんどでした。)

論文の経験が少ない私には、論文を書き始める前に、この参考書で"お作法"を学んだことがとても良い選択だったなと思います。
論文に自信がない方は、まずはこの参考書の言う通りに学習することをオススメします。

余談ですが、この参考書は2020年出版です。
2024年12月現在で一応最新版なのですが、2023年8月末には"購入者特典"の有効期限が切れています。

それでもなお、論文の書き方の基本は過去から大きく変わっていないので、今でもとても有用な参考書だと思います。
ちなみに、私は収録されているサンプル論文について、著者が書いたもの以外はあまり読んでいません。

関連資料 : 約90時間

以下のブックマークしてある資料はすべて一通り目を通しました。
すべてのリンクを貼ると膨大になるので、検索していただければと思います。
(私は通勤時間中にスマホで関連資料を読んでいました。)

ただし、中でも重要だと感じた関連資料については後述します。

ブックマーク一覧

システム監査基準R5年版

序盤に読むべき資料ランキングNo.1 です。
監査人としての基本的な心構えやあり方を学ぶことができます。

システム監査用語の定義と解説

公開年は平成17年でとても古いですが、監査用語の定義が明確にされています。
言葉の意味を間違えて覚えて学習を進めると、取り返しがつかないことになりかねないため、序盤で用語の意味を整理しておくことをオススメします。
(自分も試験直前まで勘違いしていた用語がいくつかありました。)

⭐️システム管理基準R5年版

最も重要な資料なのではないでしょうか。
ただ、監査未経験が序盤に読んでもザックリしか理解できないと思います。
(私も内容が具体的にイメージできませんでした。)
序盤はざっと目を通すくらいにしたほうがいいと思います。

監査の前提知識が身につき、午後Iを解けるようになったら本基準を熟読しました。
なお、問題と「システム管理基準」の内容とを照らし合わせる勉強方法はとてもオススメです。

情報セキュリティ管理基準H28年版

AUの午後IIでは、かなりの頻度でサイバーセキュリティに関する問題が出題されます。
私は関連資料の中でこれを一番読み込みましたが、「システム管理基準」を同じくらいの時間をかけて読み込むべきだったと反省しています。
(午後II本番では、2問ともシステム管理基準からの出題であったため。)

その他

たまたま図書館にあったので読みました。「情報処理教科書」を読んでも具体的な実務のイメージがつかないところを補強する用に使いました。
監査系の本は高いので、お近くの図書館から借りる、もしくは、中古を入手するのも手段だと思います。

情報処理試験おなじみの「過去問道場」がAUにはありません!
そのため、この過去問Webアプリを利用していました。
誤字や問題の内容に誤りが多数ありますが、十分な機能は備わっています。

ただ、私は、午前問題は午後問題が解けるレベルになっていると対策しなくても自然と解けるようになっていると思い、あえて対策していません。
(約4時間で9年分の過去問を解いて終わりです。)

独学で工夫したこと⚙️

午後IIの傾向を分析する

あたり前ですが、過去と同じ問題は出題されません。

ただし、本番で出題されるカテゴリ(範囲)はおおよそ予想がつくと思っています。
例えば、「情報処理教科書」の冒頭に、これまでの「出題テーマ」と「カテゴリ」の記載がありますが、2年連続同じカテゴリの出題は少ないように見受けられますので、分析をオススメします。

また、出題内容の"あたり"をつけるため、受験年の情報通信白書を読むことを非常に強くオススメします。
すべて目を通す必要はないですが、冒頭、総務大臣が"今年の大きな出来事"をザックリ述べているので、そこは最低限読みましょう。

ちなみに、令和6年度情報通信白書では、「AI」、「能登半島地震」が説明されており、同年の午後II 問1でも、「AI」、「大規模災害」についての記述がありました。
(令和5年度情報通信白書では「DX」が説明されていて、同年の午後II 問1でも「データ利活用基盤」に関する問題が出題されました)

そのため、ザックリした当たりをつけるにはとてもいい文書だと思います。

ノートを取る

いつでも参照できるように、お気に入りのアプリを使ってノートを取ることをお勧めします。
私はObsidianを使ってました。

AUはネスペ、支援士などと比べて対策情報が圧倒的に少ないです。
事実、Googleで"情報処理安全確保支援士"と検索すると約40万件ヒットしますが、
"システム監査技術者試験"と検索すると約6万件しかヒットしません(約1/7の情報量)。

そのため、自分でドキュメントを読み、ノートにわかりやすくまとめておくことが重要かと思います。

obsidianノートキャプチャ

午後問題は手書きで解答する

工夫なのか?と疑問を持たれそうですが、あえて手書きにこだわりました。
私自信、アナログはあまり好きではないのですが、

  • 字の汚さ
  • 消しゴムをどれだけ使ったか
  • 解答所要時間

がわかるため、手書きで回答しました。
理由として、本番は手書きであること、字の"ていねいさ"などの印象面も重要であること、などがあります。

ただ、論文を何本も書くのは疲れるので、終盤は論文の骨子を作成するだけに留めました。
書いた論文は、1日以上間隔をあけてから"素人のつもり"になって採点していました。

この試験は、経験がある人の方が沼にハマりやすいと聞いたことがあります。
(自分の"正解"を相手にとっても正解だと思い込んでしまう。)

私は素人だったので完全独学でもうまくいったかもしれないですが、"監査のプロ"の方は第三者に読んでもらうことをオススメします。

過去問解答実績管理表

⭐️論文ネタを作成する

学習期間の終盤で論文ネタを固めていきました。
私の観測圏では、多くの教材が「良質な論文ネタの作成が午後IIの合格に直結する」と言っています。

具体的な内容は、(守秘義務違反など自分にも想定できない)問題が起きるかもしれないのでお見せできませんが、 大きく以下の構成で作成しました。

  • 概要:情報システムの概要です。午後II 設問アで問われる内容です。幅広いテーマでも利用できるよう、カスタマイズしやすい内容にすることをお勧めします。

  • テーマ:例えば、セキュリティ、監査計画、ガバナンス、システムライフサイクル、外部委託などです。

  • 留意点:先に挙げた情報システムの概要ならではの留意点を記載していました。例えば、組み込み型機器は製品の欠陥が物理的な被害を招くなどです。

  • リスク:先に挙げたテーマになるべく沿ったリスクを考えます。例えば、テーマがシステムライフサイクルの開発であるのに、運用面のリスクを書いてしまうとダメかなと思います。

  • コントロール:コントロールの詳しい定義は「情報処理教科書」をご覧ください(定義を間違えて覚えると非常に危険)。ここで簡単に説明すると、あるべき論と現状を照合することです。そのため、リスクに対してのあるべき対応を記載します。

  • 監査テーマ:監査目的実現のために、どこに焦点をおき監査するかを表した、具体的な監査の主題です。例えば、監査目的が「当社情報システムは経営に役立っているかを確かめる」だとすると、監査テーマは「管理会計システムの安全性・有効性を確かめる」となります。監査目的・監査テーマは問題文中に記載していることがほとんどですが、勘違いするとOUTです。

  • 監査手続:監査証拠を得るための具体的な監査技術です。ここでは、具体的なガイドライン、規格名を用意しておくことをオススメします。 本番では論文に自信がなかったのですが、「AI事業者ガイドライン」や「事業継続ガイドライン」といった具体的なガイドライン・規定名を論文に記載したことが、 A判定をもらえた要因かなと考えています。

  • 専門家アピール:監査人として、監査手続を実施してもなお懸念されるリスクおよびそれに対する監査手続を記載します。

以上です。
特に、「情報システムの概要」については、1つの概要だけ用意しておく方法と、複数の概要を用意しておく方法がありますが、
私は複数(3つ)の「情報システムの概要」を用意しておきました。
(3つの概要 x 3つのテーマ = 計9つの論文ネタ。)

そのため、本番では全く予想していなかった「IT投資のガバナンスについて」出題されましたが、用意していた概要でなんとか対応できました。

論文ネタをマスキングしたもの

試験本番の心構え❤️‍🔥

以下を大事にしていました。

  • 題意を無視しない。問題文に記載の条件や重要な前提、例から逸脱しない。
  • 設問に答えていることを、設問の単語を用いることでアピールする。
  • 監査人は精神・身体的に独立している。あくまでも役割は検証・評価すること。主体的に改善することではない。
  • 因果関係は誰にでもわかるように述べる。
  • 諦めない。

以上です。
特に題意を無視しないことが重要です。IPA公式の「採点講評」でも散々言われていますが、題意を無視した論文は、どれだけ素晴らしくても落ちます。

「諦めない」は言うまでもないですが、大事だと思います。
(実際めちゃくちゃ諦めたくなります。)
私は午後IIで予定していた時間を大幅に超えて諦めかけましたが、字が汚くなりつつもなんとか論文を書き上げました。
(本番では試験終了90秒前に書き上げた。危なかった...。息つく暇もなかった...。)

午後II受験レベルまで来ている人は、諦めないで字数を埋めるだけでも合格率が上がると勝手に思っています。

おわりに(感想)🏁

試験当日は会場の空席の少なさに驚きました。
ベテランの風格漂う方々が腕組んで座っていました(気のせいかもしれません)。
実際とてもピリピリしていましたが、試験結果を見ると、私の会場では全体の10%も合格していなかったため、とても難関な資格であることを再認識しました。

勉強中も"楽しい"より"苦しい"が勝りました。なぜなら、範囲が広すぎることや、明確な正解がないことから、「できるようになった!」という実感が全く得られなかったからです。

しかし、業務の"あるべき論"だけでなく、言葉の意味の重要性や、客観的に物事を見るスキルが身につくいい試験でした。

タフな試験でしたが、一発合格できたのは運もあったと思います。諦めずに勉強してこれたのは家族の支えあってこそです。

以上、長くなりましたが、最後まで読んでくださってありがとうございました!

情報処理安全確保支援士試験合格体験記

情報処理安全確保支援士試験結果

令和5年度秋期の情報処理安全確保支援士試験に無事一発で合格できました。午後問題は問2・3を選択しました。

本記事では「最短合格」などを謳うものではなく、地道な学習方法に加え、解答時に心掛けたことをツラツラと書いていきます。

 

学習教材とそれにかけた時間

前提として、令和5年度春期の応用情報技術者試験に合格しています。

  1. 『情報処理教科書 情報処理安全確保支援士』:90時間
  2. 『情報処理安全確保支援士「専門知識+午後問題」の重点対策』:227時間
  3. 情報処理安全確保支援士試験過去問道場:13時間
  4. 『うかる! 情報処理安全確保支援士 午後問題集[第2版]』: 28時間
  5. podcast - #セキュリティのアレ : 正確な時間は計っていません。

総合学習時間は約360時間でした。

⚠️ 学習時間は教材を読んでいた時間だけではなく、調べ物や下記の参考資料を読んでいた時間も含みます。

参考資料

参考にした解説

 

学習方法

学習方法について、特に力を入れたのは、学んだことを自分の言葉に置き換えたり、実際に手を動かして理解を深めることでした。また、ノート作成ツールとしてObsidianを活用し、理解に時間がかかった知識などをメモしていました。

では、教材ごとの勉強方法等について具体的に述べていきます。

1.『情報処理教科書 情報処理安全確保支援士』

この教材では、基礎概念が一番重要だと考え、概念はほとんど暗記しました。特に第1章は試験直前まで何度も確認しました。基礎概念とはCIA(機密性、完全性、可用性)だけではなく、「セキュリティと利便性のバランスを取る」といった考え方や、「最小権限の原則を徹底する」といった原則も含まれます。

これらの概念をしっかりと覚えたおかげで、「この技術や対策は何のために存在するのか」ということが自然と理解できました。

2. 『情報処理安全確保支援士「専門知識+午後問題」の重点対策』

午後問題の学習では、著者の三好氏が提言した方法を使いました。

それは、一度解いた過去問は再度解かないことです。一度解いた過去問は再度時間を計って解くのではなく、頭の中で問題と答えを再現し、その後で答案を確認するようにしていました。

午後問はケーススタディだと考え、短いスパンで多くの問題に触れました。以下のように、一度解いた過去問はキーワードや得点率をメモし、その得点率に基づいて見返す際の優先順位を決定しました。

情報処理安全確保支援士午後問解答後のメモ

加えて、参考資料を何度も読みました。参考書だけでは抽象的すぎたり内容が薄いトピックも、参考資料を読むことでより深く理解できたと思います。参考資料は「おまけ」ではなく立派な教材です。本試験は試験対策本だけ読んで余裕で合格できる試験ではないと思います。

3. 情報処理安全確保支援士試験過去問道場

ここで初めて午前問題を解きましたが、最初から9割以上の点数でした。腹落ちするまで理解できているなら、あえて午前問題に取り組む必要はないとは思いますが、私は何か見落としはないかな...と不安だったので全問解きました。

4. 『うかる! 情報処理安全確保支援士 午後問題集[第2版]』

この教材を初めて読んだときに、「だいたい知ってるよ...」という感想を抱きました。しかし、中には「そういう考えもあったのか!」とか、「それはいい意味でちょっとずるくない?」というものもあり、とても有用な教材でした。

著者はX(旧Twitter)にて「合格に手が届く人の背中に"最後の一(ひと)押し"を与えるもの」という旨のポストをしています。もしこの教材を読んでも「よくわからない...」となるのであれば、『情報処理教科書 情報処理安全確保支援士』や『情報処理安全確保支援士「専門知識+午後問題」の重点対策』で基礎を再確認したほうがいいかもしれません。

5. podcast - #セキュリティのアレ

ながら聴きしていたので正確な時間は計っていませんが、1年前の投稿からさかのぼって聴いていました。『情報処理教科書 情報処理安全確保支援士』を読んだ後であれば理解はできる内容だと思います。

世間を騒がせたセキュリティインシデントや犯罪について専門家が解説したり、意見を述べたりしつつ、クスッと笑える話も散りばめられているので、楽しくて勉強になるpodcastです。

試験本番では「あっ、これ『セキュリティのアレ』でやったところだ!」となりました。

 

午後問題解答時の心構え

午後問題において重要なのは、相手の目線に立った提案だと思います。NIST刊行のUsers Are Not Stupid: Six Cyber Security Pitfalls Overturnedにもあるように、正しいだけのセキュリティ施策を押し付けることは逆効果です。

午後問題には必ず何かしらのリソース上の制約があります。例えば「設備投資は考えていない」や、「人手が足りない」などです。

このような制約を無視し、「正しいだけで実践は難しい」施策を解答すると高得点は望めないと思います。

 

おわりに

試験合格発表までの期間が長かったため、一発で合格できてホッとしました...。実際に使うことを想定して勉強したことが高得点(だと思う)につながったと思ってます。セキュリティエンジニアとしての基本が学べる、いい試験でした。これからしばらくの間は実践的な資格に注力していこうと思います。最後まで読んでくださってありがとうございました!

Burp Suite Certified Practitioner(BSCP)合格体験記

Burp Suite Certified Practitioner証明書

Burp Suiteを用いたWebアプリケーション脆弱性の検知と悪用のスキルを証明する"Burp Suite Certified Practitioner(BSCP)"という試験に合格しました。

本資格が2021年7月から始まったこともあり、OSCPと比べると日本語での合格体験記が少ないので、人生で初めてにはなりますが合格体験記を書いていこうと思います。

本記事よりもわかりやすい記事のリンクを貼りますので、そちらから先に読むのがいいかもしれません。

(※本記事は2024/02現在の情報に基づき作成しています)

 

 

Burp Suite Certified Practitionerについて

そもそもBurp Suite Certified Practitionerとは?

本資格を作成したPortSwiggerによると「Webセキュリティの脆弱性に関する深い知識、脆弱性を悪用するための正しい考え方、そしてそれを実行するために必要なBurp Suiteのスキルを証明することができます」とのことです(詳細:PortSwigger: What is a Burp Suite Certified Practitioner?)

試験の概要
  • 試験時間: 4時間
  • 費用: $ 99
  • 有効期間: 5å¹´é–“
  • 使用ツール:Burp Suite Pro Edition (Free trialでも可)
  • 再受験の制約:なし。2日連続でも受験できます。
  • 受験予約:必要なし。好きな時間に受験できます。
受験資格
  • 受験時点でBurp Suite Pro Edition(有料版)が使用可能なこと
  • Web Security AcademyのDashboardにあるExam preparation stepsを完了していること... ç­‰

Exam preparation stepsの見た目

 

事前スキルレベル

まだまだ不勉強ですので精進します...

その他

  • TryHackMe: Red Teaming等、基本と攻撃系のLearning Pathsは一通り完了しています。セキュリティ初心者にも優しい学習教材だと思います。
  • Proving Grounds Practice:  Offensive Security社提供の学習コンテンツです。Easyã‚„IntermediateのLABã‚’15個解いていました。
  • TOEIC 800: Web Security Academyの内容は全文英語ですので、ある程度の英語力が求められますが、DeepLなどの翻訳ツールを活用すれば問題ないと思います。

 

BSCP取得までにかかったトータルの時間と費用

総学習時間

約450時間

総費用

$198 (受験費用$99 × 2)

Burp Suite Pro Editionは年額$449です。

初回に限り30日間のFree trialが利用可能で、私はFree trial期間に合格しました。

 

学習教材と学習方法

 

学習教材

Web Security Academy

BSCPの試験問題はWeb Security AcademyのPractitionerレベル以下のLABを改変したものがランダムで出題されます。

XSSやSQLi、Web LLM attack等、30ものトピックがあり、実際にエクスプロイトを試すことができる"LAB"が264個もあります。

完全無料ですが、一部、Burp Suite Pro Edition(有料版)の機能を使わないと解けないLABがあります。

『体系的に学ぶ 安全なWebアプリケーションの作り方 第2版』

私はWeb Security Academyのトピックを一通り進めた後、関連する部分を読み返していました。

Web Security Academyもすでに十分わかりやすいですが、本著を読み返すことで知識が「体系的に」整理される気がします。

 

学習方法

流れはざっくり以下のようになります:

    1. Burp Suite Community Edition(無料版)を使い、解決可能なPractitionerレベル以下のLABをすべて解きつつ、Obsidianでノートを作成
    2. Burp Suite Pro EditiionのFree trialを開始し、残りのLABを消化
    3. Mystery lab challenge*1に取り組み、ヌケモレがないようにCheat sheetを作成
    4. Practice exam(模擬試験)を2回分受験する
    5. 試験本番!

LABには"Community solution"という動画での解決策があり、序盤は必ず確認していました。便利なBurp Suiteの使い方を学ぶことができるのでご覧になることをお勧めします。特にRana KhalilやIntigritiの動画がお勧めです。

Community EditionではPro Editionで利用可能な、自動で脆弱性を検知・悪用できるScanner等の一部機能が使えません。

私は金銭的な理由でCommunitiy Editionを使いましたが、これにより手動で検知・悪用する経験を積めたので、経験が浅い私にはよかったのかもしれないです。

しかし、すでにある程度知識や経験のある方はPro Editionを使用した方が良いと思います(Pro Editionを使用しても十分に難しいと思います)。

 

試験範囲はPractitionerレベル以下ですが、Expert LABも学びが多いのでこれからやっていこうと思います。

以下は私の達成状況です。(2024/02/23時点)

 

私のWeb Security Academy progress
⚠️Free trialの注意点

Burp Suite Pro Editionの30日Free trialはGmailなどの個人用メールアドレスでは利用できません。ビジネス用のメールアドレスが必要です。

私は個人用メールアドレスを使用していましたが、その時点でLABの進捗が83%であることを示して、ダメ元でFree trialを利用させてもらえないかとサポートチームに連絡したところ、なんとかFree trialを開始させてもらいました。再現性は低いです(無理ならドメインをレンタルしようと考えていました)。以下はそのときのPortSwiggerからの返信です。

PortSwiggerサポートチームからのメール返信

 

利用したBurp Suiteの拡張機能

  • Turbo Intruder
    • Burp Suite Community Edition(無料版)で学習を進めるなら、Intruderよりこちらを使った方がいいです。Community EditionにおけるIntruderは、リクエスト数が100を超えると速度が著しく低下しますが、Turbo Intruderを使用すれば、より高速にbrute forceが可能です。
    • 使い方など参考の記事や動画です:
  • JWT Editor
  • Param Miner
  • HTTP Request Smuggler
  • HackVertor
  • InQL - GraphQL Scanner
  • Content Type Convertor
  • Server-Side Prototype Pollution Scanner

 

利用した外部ツール

  • Insecure deserialization
  • SQL Injection: sqlmap
    • 学習時は一切使用していません(使っていいとは思ってなかった)。
  • GraphQL API vulnerabilities: GRAPHQL VOYAGER
    • GraphQLのSchema情報を取得した後、それを視覚化するために使用。
  • SSTI (Server-Side Template Injection): SSTImap

 

受験本番

一度目の受験(2024/02/22)

一度落ちました...。

敗因は2つあり、①自動ツールへの理解不足②リラックス不足です。

 

2つあるうちの1つのアプリは順調にクリアしました。

2つ目のアプリでは、VictimのHTTPリクエストをキャプチャすることでCookieを窃取してアカウントを侵害する必要がありました(⚠️ネタバレではないです)。

少し手間取りながらも、なんとかCookieを窃取できました。

しかし、獲得したFootholdを安定化させず、すぐにPrivilege Escalationのための自動ツールを走らせてしまいました。

その時、Webアプリが落ちてCookieが無効になったので、もう一度リクエストをキャプチャしました。しかし、何度やってもVictimのリクエストをキャプチャできません。

原因が自動ツールであることに気づいたのは試験終了5分前でした。非常に悔しい経験でした。

二度目の受験(2024/02/23)

合格する自信はあったので翌日に再受験しました。

一度失敗を経験すると不思議と落ち着くものです。自動ツールも必要な時に把握できる範囲で走らせるようにしました。

結果、運もあるとは思いますが、試験が4時間のところを1時間55分でクリアできました。

 

反省点

挙げ始めたらキリがないですが大体こんな感じです:

  • Cheat sheet作成を念頭においておらず、終盤でCheat sheetを作成するときにまとめに時間がかかった
    • 各LABのsolutionをメモして参照できるようにしておいた方がいいです。試験は各LABのsolutionをアレンジした問題が出題されます。
  • JavaScriptの理解が足りなかった。XSS等で苦労した。
  • Obfuscation(難読化)の実践が足りなかった。
  • アカウントを侵害したらまずは安定化させるべきだった
    • 何かエラーが起きた時でも、すぐに原状回復できるようにしておくという意味。
    • エクスプロイト方法を詳細にメモしたり、Victimのパスワードを任意の値に変更しておく等

 

おわりに

とても楽しみながらWebセキュリティについて広く深く学習できましたが、まだまだ勉強が足りないことがわかったので、意図的に脆弱なWebアプリケーションを開発するなどして理解をさらに深めていけたらと思っています。

Webセキュリティがもっと好きになったので、これからも精進していきます!

ご一読ありがとうございました。

*1:「何も情報がないところからLABを解く」チャレンジのこと