情報処理安全確保支援士の(3 年毎の更新に必要な)IPA 実践講習の代わりに、特定講習として NRI セキュアテクノロジーズの「セキュア Eggs 応用編(Web アプリケーションセキュリティ)」をリモート受講しました。
サイトが年度毎のリニューアルでリンク切れになる可能性があるため、一応講習の説明画像を載せておきます。
内容的には、Web アプリケーションによく見られる脆弱性(XSS など)の要点および対策の説明と、プロキシツール(Burp Suite など)を使った脆弱性調査のハンズオンを、脆弱性の種類毎に行う形の講習でした。
レベル感としては「XSS・SQL インジェクションなどの基礎知識がある状態で Web アプリケーションを開発した経験があれば割と簡単」でしょうか。
受講者の皆さんも、ハンズオンの環境へのアクセスで引っかかった方はいらっしゃったようですが、全体として特に遅れることなく最後までスムーズに進んだ感じです。
ナントカ支援士のIPA講習代わりの民間特定講習受講中。
— hmatsu47(まつ) (@hmatsu47) 2023年6月6日
職業病でつい実況ツイートしたくなる(ダメ)。
連絡用Slackにチャチャを入れたくなる(ヤメロ)。
さすがにプロの講師なので話もスムーズでわかりやすくて良かったのですが、(ネタバレにならない程度に)気になった点をいくつか。
- 必要な PC のOS・スペック・ネットワーク環境など受講環境の事前説明はもう少し丁寧に書いた(伝えた)ほうが良さそう
- (個人的に、他社の特定講習で示されていた要件と勘違いしていたため)直前に「macOS でも OK」という表記が無いことに気づき、しばらく使っていなかった Windows 11 マシンを慌てて引っ張り出してきて OS パッチを当てて環境整備した
- でも実施に受講してみると macOS でも問題なかった模様
- ネットワークについて「Zoom、Slack、Box にアクセス可能なこと」「Proxy 経由の通信ではないこと」としか書かれておらず、高度なアプリケーションコントロールが入ったファイアーウォールでハンズオン環境に入れない可能性についての説明がなかった
- 受講者の方が 1 人だけ引っ掛かっていたが、事前に詳細の説明があれば引っ掛からずに済んだ可能性も
- (個人的に、他社の特定講習で示されていた要件と勘違いしていたため)直前に「macOS でも OK」という表記が無いことに気づき、しばらく使っていなかった Windows 11 マシンを慌てて引っ張り出してきて OS パッチを当てて環境整備した
- SQL インジェクションの調査ハンズオン時に、特に説明もなく(行コメントの開始として)「
#」を使っていた
あなたはMySQLさんですか?
— hmatsu47(まつ) (@hmatsu47) 2023年6月6日
それともMariaDBさんですか?
(ポイントはそこじゃないけどそこの知識も必要なやつ←何かを見ながら考えている)
(偶然のネタ被りが発生!)
残念、使ってるシステムが予算削減でMySQLになったので末尾の空白が足りなくて何かは起こせなかった(??)。 https://t.co/BIvsiumuXM
— hmatsu47(まつ) (@hmatsu47) 2023年6月6日
- モダンな Web アプリケーションの構成特有の問題にまでは踏み込めていなかった
- 時間(1 日コース)の関係でやむなし
- とはいえ、ここは(平均的なレベルの)セキュリティサイドの人たちの追従が不十分な部分なので、改善したほうが良さげ
- モダンな Web アプリケーションでなくとも、例えばレガシーな Web アプリケーションを Ajax を使って「増築」したときにも役立つし
- その他、全体的にテキストの扱う内容が古めの印象
- そのあたりは講師の方も認識されている感じで、テキストに書かれていることの一部は軽めに流しつつ、逆にテキストに書かれていないことを雑談でフォローされていた
- ただ、後で復習するのに、テキストに書かれていないものはメモを見てもなかなか思い出せないのでは?と思う
少なくとも、2 回続けて IPA の実践講習を受けるよりは(お金は掛かったものの)有意義でした。
(はい、個人で勝手に取って維持している資格なので全額自腹です。しかも今回この講習をチョイスしたことで 3 万円余分に掛かりました)
といったところで 3 年毎の更新 2 ターン目が終わり…このまま更新を続けようかここで一区切りして更新をやめようか、どうしましょうかね?
