情報処理安全確保支援士「徳丸本」活用法【非SE向け・webセキュリティ対策】

記事の内容

---

支援士の午後問題における「webセキュリティ」（※１）対策に必須と言われる、「安全なWebアプリケーションの作り方 第2版」通称「徳丸本」について、試験対策における活用法を記載する。

★伝えたいこと★
・本稿により、非SE・非開発者の素人でも対策が可能である。
・徳丸本は、全てを読む必要はない。
・本稿では、徳丸本を効率よく活用する方法を提示する。

※１　本稿では、XSS・CSRFなど徳丸本で主に扱う分野で、かつプログラミングが必要のない問題をいう。

体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践

なぜこの記事を書いたか？

---

近年の支援士では、「IT素人の確実な一発合格」のためにはwebセキュリティの対策がほぼ必須だ。しかしながら、AP・FEなど下位試験で一切問われない内容であるにも関わらず、「webセキュリティの攻略法」「徳丸本の活用法」についての情報はネット・参考書ともにほぼ皆無であり、私は受験時に大変困った。私は暗中模索で対策を行い、その成果を過去問で実感しつつR6秋の本番も午後82点で合格できたので、この場でノウハウを共有したい。

webセキュリティの対策が必須である理由は、以下の記事で取り扱っているため参考にしてほしい。

筆者のスペック

---

・私立文系大卒。
・事務系総合職。
・中規模企業の「なんちゃって情シス」部署を約５年。SE業務は全委託。
・取得資格：ＳＣ【R6秋・未登録】、ＮＷ、ＡＰ、ＦＥ。全て、近年一発合格。

本稿の対象者

---

以下をどちらも満たす方が対象だ。
・web系に関して自信がない／素人の方
・支援士を「確実に一発合格」したい方

本稿における前提知識

---

本稿の前提として、支援士の「webセキュリティ」の対策法や、分野別の対策優先度に関する知識があることである。これらは過去に記事化しているため、まずこちらを参照頂きたい。

これを踏まえたうえ、徳丸本の活用法について、筆者独自の分析結果から記述する。
本稿の内容は、R7.2現在ネット・参考書ともに他にない情報であるため、貴重な情報を提供できる意義があると考える（存在していたらごめんなさい。筆者は受験期に出会えず困りました！）。

とはいえ、本稿の情報は、令和７年１月時点において筆者の色眼鏡を通したものだ。実際の活用法については、受験年度やご自身の得意不得意などの状況を勘案し、そして全ての過去問をご自身の目で見た上で緻密な考察を立て、より自身に合った、より優れた活用法を編み出してほしい。

支援士における「徳丸本」活用法

---

（１）購入しよう

誰かに借りて数回読む程度では全く対策にならない。購入し、手元におき、いつでも見られる状態にし、線を引き、解説を書き込む必要がある。

（２）本をコンパクトに切ろう

この本は充実度を反映し、大変重い。だが重さと分厚さゆえ、持ち運ぶことや読むことが億劫になったら試験対策は失敗する。私の推奨は、４分冊に切り取ってしまうというもの。（徳丸先生、ごめんなさい！）
具体的には、次のようにする。

1. カッターと「背表紙補修テープ」を100均で買う。

2. 96ページ、280ページ、456ページで切断！

3. 背表紙を「背表紙補修テープ」で張り付けて補強。

ぜひやってみてほしい。（本も気持ちも）驚くほど軽くなる。
①～④分冊のうち、試験で活用するのは②＞③＞＞＞①＞＞＞＞＞④となる。
頻出分野は②に固まっており、気軽に持ち運べる。

（３）目次にチェックを入れよう

目次に並ぶ項目こそ、次回の出題範囲。恐らくIPA試験委員も、毎年睨めっこしてネタを探している。しかし、その全てが出題範囲ではない。まずは以下の記事で、webセキュリティの分野別の優先度を確認してほしい。

この記事の内容（≒過去問の出題範囲）から、どのページが出題範囲かおおよそのアタリが付く。その部分に、ペンで優先度のチェックを入れよう。優先度順に読み込んでいけば良い。

なお、具体的に徳丸本のどのページを読めば良いか？については、コメントなどでニーズがあれば記事を出そうと思う。これも唯一無二の情報のはずだ。

（４）過去問を解こう

過去問は当然必須。以下の記事を参考に、過去問と本書を往復する。

（５）【ミクロ編】「現象」をノートにまとめよう

ボーっと流し読みし適当にマーキングするのは全く意味がない。
そうではなく、セクションごとで良いので熟読する。XSS基本編を例にすれば、121~122ページが１セクション。セクションごとに、筆者が言わんとする現象を、HTMLから死に物狂いで理解する。HTMLやスクリプトは、趣旨と関係ない部分は分からないままで良い。セキュアプログラミング対策ではないし、何よりphpは絶対に出題されないからだ。私は筆者の主張に関連する部分にのみ、稚拙な矢印を書いたり、入力された値がどこに入るか等を書き込んだ。HTMLが分からなければ、ググる。chat-gptに解説させる。
そして、その内容が試験で問われる余地があるか、IPAの立場で意地悪く考える。問われる余地があれば、同じ内容をノートにまとめる。問われる時に空欄になりそうな箇所をピンクで記入し、後で赤シートで隠して暗記する。

（６）【マクロ編】「問題点と結論」をノートにまとめよう

前項はミクロな分析だ。ミクロ知識の集大成が、本項のマクロな分析。
つまり、次の２点の組を理解してまとめる。
・【問題点】脆弱性が発生する条件は何か？（＋その理由）
・【結　論】その対策は何か？（＋その理由）
これは必須中の必須。これこそが、私が「ワンパターン」と考えるもの。種類も大して多くないからコスパ抜群。ミクロな現象を丁寧に理解しつつ、これらを丸暗記して、本番にそのまま回答すれば良い。

（７）IPA本との兼ね合いはどう考えるか

安全なウェブサイトの作り方 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

徳丸本をやり込むのに、この「IPA本」も読みこむ必要があるかどうかは、意見が分かれる。
だが、私はIPA本もノートにまとめた。理由は次の５点。

1. 試験作成と同じ団体の刊行物であり、出題可能性が高いため。

2. 徳丸本は、読みこむと分かるが、ページの多さに比して意外と出題ネタを探しにくいゆえ、IPA本からの出題もあり得るため。

3. 他の受験者は、徳丸本を読まずIPA本だけで対策している可能性が高く、彼らに差をつけられないようにするため。

4. 徳丸本を読み込む前にIPA本を何度か読んでおり、そのリソースを無駄にしたくなかったため。

5. 絶対確実に一発合格するため。

どう考えるかは読者のお考えに任せる。とはいえ、徳丸本をマスターした時には、IPA本など大した内容が載っていなかったことに気付くだろう。IPA本に手を出しても、そこまで負担にならないはずだ。

おわりに

---

以上の内容は、私が受験に際し独自に分析し、戦略を立てたものだ。そのため、最終的には受験者ご自身の目で過去問を確かめ、ご自身にあったより優れた対策にアレンジし、確実な合格に繋げてほしい。

受験者の方に少しでもお役に立てれば幸いです。お気軽に高評価やコメントを頂ければと思います。攻略のための独自データ等々、更なる執筆に繋げる力になります。

※支援士のwebセキュリティの攻略については、以下を御参照ください。

情報処理安全確保支援士_徳丸本・webセキュリティ｜nanchane｜note

※支援士の攻略記事全般については、以下を御参照ください。

情報処理安全確保支援士対策まとめ｜nanchane｜note