TOUCH THE SECURITY Powered by Security Service G

コラム

2018.06.13

CEH(Certified Ethical Hacker)v9を受験してみた

先日、CEH(Certified Ethical Hacker)という認定資格を受けてきました。「え、ハッカー?」と不審に思う方。「CEHは知っているけど、日本語サイトの情報少なくて困っている」と思っている方。そんな方々へ何か足しになればということで執筆しました。

1.CEH(Certified Ethical Hacker)とは?

1-1.認定資格の概要

「CEH」という単語の意味をそれぞれ分解すると、以下となります。

Certified(認定) Ethical(倫理的) Hacker(ハッカー)

倫理的ハッカーとは、いわゆるホワイトハッカーです。つまりホワイトハッカーの為の認定資格といったところでしょうか。米国EC-Council(国際電子商取引コンサルタント協議会)の主催の下、国内ではグローバルセキュリティエキスパート株式会社(以下GSX)が、トレーニングプログラムを日本語化しています。

イメージ

1-2.特色、取得の意義

CEHではハッキングに関する手法やツールが体系化されており、これらを学ぶことで攻撃に対してより実践的な知識、理解を深めることが出来る資格です。すなわち、「攻撃者視点」の判断力を習得することで、ホワイトハッカーとして防御に活かそうというのが、この資格のコンセプトになります。

また、基本的には試験とトレーニングプログラムがセットとなっており、トレーニングで得た情報を外部に持ち出さない(=悪用しない)旨の書面にサインしたりもします。

1-3.認定資格の評価

さて、どんな資格か分かったところでCEHに対する世の中の評価を調べてみました。

先ずは米国。アメリカ合衆国国防総省(DoD)では、情報システムにアクセスする全ての職員に対して、CEHの取得が必須条件として規定に含まれているそうです。

また、資格取得者に対する求人も見てみました。Google『indeed CEH』といったワードで検索すると出るわ出るわ、CEHを転職の条件として提示している求人が約600件も!米国ではCEHの保持を転職の条件としている会社が多いのですね。ちなみに求人の年収欄を見てみると

  • エントリーレベルで500万~1000万
  • ミドルレベルで750万~1200万
  • シニアレベルで850万~1250万
といった層の求人があり、一番多いのはエントリーレベルの求人。エントリーでも年収たけぇ。職種は脆弱性評価/侵入テストエンジニアが多く、その他にセキュリティアナリスト、コンサルタント、SOCチームの管理者、インシデントハンドラー等がありました。

米国ではかなり市場価値の高い認定資格であることが伺えます。日本においても今年の2月28日に、経済産業省が策定した情報セキュリティサービス基準に「脆弱性診断サービスの提供に必要な専門性を満たすことが出来る資格」として例示されるなど、認知は益々向上しているようです。

2.申込みから受験までの道のり

受験までの工程ですが、以下の流れになります。

申込み ⇒ トレーニング受講 ⇒ 試験勉強 ⇒ 試験

申込み

ちょうど1年前くらいでしょうか。実際に調べてみるとわかりますが、概要以外、中身の詳細に関する情報は得られず。しかし確実にキャリアアップにつながるだろうと考え、受講を決意。

トレーニング受講

申し込み後、5日間のトレーニングを受講しました。研修初日で面食らったのはテキストの厚さ。但し中身にびっしり文字が書いてあるかと言うと、そういう訳ではなく、テキスト1ページにパワーポイントのスライド的なものが2枚表示、といった感じ。このスライドのみという研修テキストが、後々苦戦することに。

イメージ

厚みフェチにはたまらないテキスト群

研修では実技として、EC-Council側がiLabsと呼ばれる攻撃をシミュレーションする為の仮想環境を用意しており、受講者はその仮想環境上で攻撃ツールを実行し、攻撃がどのように行われるのか体験・実践することができます。これが結構楽しい。若干レスポンスがもたつく時もありますが、そこは致しかたないでしょう。

試験勉強

研修で使用したテキストがスライドのみでまとめてあるため、内容はかなりざっくり。自分で1ページ目最初から調べていこうと思いましたが、早々にくじけ、他に良い方法がないか情報収集を開始。するとAmazonでCEHv9の問題集が売っているではないか!しかし中身は英語なので、裁断⇒スキャン⇒OCRで読み取り⇒翻訳、というなんとも涙ぐましい努力を繰り広げます。当然、翻訳はメチャクチャになりがちなので、問題を解きながら自力で翻訳。やれやれです。しかもこの取組みが試験に役立ったかと言うとそうでもないところが超痛い。

その後、上記問題集をセコセコと1~2週して、試験の約1ヶ月前を迎えます。この時点で受かる気がしないと直感。更に何か良い情報はないかとネットで情報収集です。出ましたよ、CEHのオンライン問題集。こちらは実戦形式に近い出題方法のようで、今度はこちらをベースに問題を解く⇒わからない用語は調べて、まとめて、覚えてと無限ループです。

試験

試験は事前に試験日を確認し、申込んでおく必要があります。当日はGSXの研修ルームにて、予め作成したアカウントでログインして受験です。試験時間は4時間、125問中70%(88問)正解すれば合格です。

で、どんな問題が出るの?というのが気になりますよね。

3.CEHの試験問題

3-1.回答方式

問題は4択がほとんどで、たまに5択以上の選択肢があります。複数選択の場合、問題文にその旨の記述がありました。

全て回答後、見直しを2週くらいやっていたので、全ての回答に約2.5hを要しました。尚、問題文は日本語の翻訳有でしたが、独特な表現のものも多かった印象です。

3-2.試験を受けた感想

実際に受験してみた感想を2点ほど。

1点目は、問題の出し方や翻訳の問題で、回答側は攻撃者なのか、セキュリティ担当者なのか、どの立場で回答すればよいか迷う問題がいくつかあり、回答するのに苦戦しました。

2点目は、攻撃者の動機やセキュリティ担当者の置かれる立場など、インシデントに関わるであろう様々な人々に対する推察や理解が求められる為、単に技術だけの理解では回答が出来ないものもあるという点です。もちろん、暗記だけで合格できる事は先ずないでしょう。

ちなみに私は1回の受験で合格することが出来ました。ボーダーギリギリですが。

3-3.どんな問題が出るのか

さてここで問題のイメージを、差し障りが無い程度に2つほどご紹介します。

例えばDoSに関する問題。攻撃者が送信元を偽装してICMPを大量に送りつける攻撃手法に対して、選択肢の中から最も相応しい名称を選択。これは暗記でいけるかもしれません。

一方、暗記で回答できないものの例としては、あるインシデントに直面した際に、ホワイトハッカーとしての倫理観を伴う行動はどれか、といった選択問題。日本人的というかサラリーマン的な感覚からすると”意外”に感じる行動が正解となっており、ある意味面白かったです。

4.まとめ

資格としては

  • 攻撃者視点を体系的に学べる
  • 米国はもちろん、国内でもスキルアップのベースとして認知が広まっている
というメリットがあり、セキュリティエンジニアとしては見逃せない認定資格です。

しかし、試験に関する日本語の情報が少ない上、トレーニング費用や再試験の費用(8万円)という点を考慮すると、ハードルの高さはあると思います。とは言え、他のセキュリティ認定資格も個人が受験するには高いものが多いのですが。

ということでCEHも取得したことですし、これで安心して夏休みを迎えることができそうです。

記事一覧に戻る