認定Webアプリケーション脆弱性診断士を取得したので体験記を記載します。

• 認定Webアプリケーション脆弱性診断士とは
• 試験概要
• 公式トレーニング
• 勉強方法
• 試験当日
• おわりに

認定Webアプリケーション脆弱性診断士とは

Webアプリケーションの脆弱性診断に取り組むために必要な技術等を習得することを目的とした資格です。今までは、自動診断ツールや技術者の診断スキルを頼りにしていたため、正しく診断をできているかなど診断の良し悪しが分かりにくい問題がありました。このような問題を解決する1つの方法として、技術者の診断スキルを第三者に示すことができる指標となるこの資格が生まれた一面もあります。

試験概要

• 問題数：30問（4択問題）
• 試験時間：60分
• 出題範囲：公式トレーニング、および脆弱性診断士スキルマッププロジェクトが策定した脆弱性診断士（Webアプリケーション）スキルマップ＆シラバスの「Silver」 ランク

公式トレーニング

私は2日間の公式トレーニングを受講しました。公式トレーニングの受講は任意ですが、テキストの内容がよくまとまっており、体系的に知識を得ることができるので、Webセキュリティにあまり詳しくない方やお金に余裕がある（会社が出してくれる）方は受講することを推奨します。もちろん受講しないと解けないといった問題はないのでどちらでも構いません。

勉強方法

私が参照した資料は以下の通りです。

• 公式トレーニングのテキスト
• 脆弱性診断士（Webアプリケーション）スキルマップ＆シラバス
• 安全なウェブサイトの作り方
• ウェブ健康診断仕様

前述の通り、私は公式トレーニングを受講したため、テキストの復習を中心に行いました。また、出題範囲に記載されている「脆弱性診断士（Webアプリケーション）スキルマップ＆シラバス」のSilverランクに該当する箇所に関して不明点がなくなるまで調査しました。「安全なウェブサイトの作り方」と「ウェブ健康診断仕様」に関してもシラバスの中に記載があったので一通り読みました。そのほか、不明点があればWebで調べることで補完しました。特にHTTP周りの仕様を調べる際に下記のサイトが役に立ちました。なお、トレーニングを受ける前からある程度の前提知識はあったため、勉強期間は1週間程度でした。

developer.mozilla.org

試験当日

1問目から少し頭を使う問題が出てきて焦りましたが、全体的に出題範囲に記載されている内容や用語を正確に押さえておけば簡単に解ける問題が多かったです。30分程度ですべての問題に解答し、正解する自信のない問題が4問だったため試験を終了したところ、無事に合格しました。

おわりに

なんとなくの理解では解けない問題も多々ありましたので、「脆弱性診断士（Webアプリケーション）スキルマップ＆シラバス」の「用語例」に記載されている内容を正確に覚えてから受験することを推奨します。問題自体は良問が多かったので、良い試験に出会えたと思いました。

認定Webアプリケーション脆弱性診断士の合格体験記が現時点で見当たらなかったため、初めて記事を投稿させていただきました。少しでも参考になれば幸いです。