先日、Certified Ethical Hacker v11を受けてきまして試験をパスすることができました!
その時の体験談を記しておこうと思います。
はじめに
受験理由
CEHの受験を決めた理由は、実践寄りの試験であったためです。
昨年取得したCISSPなどは法律やルール・概念などを問われる純理論の資格であり、手を動かして実行することの方が好きな私は理論方面ではあまりモチベーションが上がりません。そこで、理論系はCISSPまでと決めており、今後受験する資格は実践的なものと決めていました。(公認情報システム監査人(CISA)などがあることは知っていましたが、受けるモチベが皆無な状態)
その点、CEHはテストセンターで受験する理論寄りの試験ですが、問われる内容がツールのコマンド・オプションや使われたツールの名前など実践向きのものとなっており、実践タイプの試験を受けるまでの中継ぎとして良さそうな試験でした。
Certified Ethical Hackerとは
Certified Ethical Hacker(CEH:認定ホワイトハッカー)は、アメリカのEC-Council社が認定している資格になります。
この資格では、サイバー攻撃について「攻撃者」の視点からシステム・環境を見ることができるハッカーとしての思想や手法を問われます。
攻撃者の視点/手法を持っている/知っているハッカーは、どのように対策を行えば攻撃が困難になるかを知っているため、防御方面でも重宝されます。
サイバー攻撃およびコンピュータやネットワーク環境について深い造詣を持ち、これらの知識を善良な目的のために使用するハッカーを認定するための資格になります。
2022年9月現在のバージョンはv11が受験可能となっています。
勉強方法
合格記
私の場合、資格試験を受験すると決めた際にまず最初に合格者の合格記を見ます。
効率よく勉強するための指標にしていますが、
・受験および参考資料の費用
・受験資格を満たす方法(公式トレーニングを受ける場合、受けない場合)
・合格までの勉強時間
・問われる内容についての注意点
などを確認するために行っています。
CEHでは下記の合格記を参考にしました。
ほぼ素人がCEH (Certified Ethical hacker) に合格したので勉強方法まとめる | biborock
CEH(Certified Ethical Hacker)に合格するために実施したこと - Qiita
【CEH】認定ホワイトハッカー試験に合格するための方法解説!【Certified Ethical Hacker】 | Change!! you
CEHv9の和文の試験に合格した - 1001001
CEH受験体験記 : pubinf
CEH(Certified Ethical Hacker)v9 勉強方法・教材など - Qiita
CEH(認定ホワイトハッカー)に独学で合格。資格試験参考書対策まとめ | はじめのすすめ
トレーニング
公式のトレーニング講座があり、こちらを受けてきました。
公式のトレーニングを受講すると受験資格を満たすことができます。ただし、こちらは受講費用が約50万かかるため、個人負担の場合は難しいかもしれません。
今回は運よく、トレーニングを受ける権利を会社からいただいたため、受講してきました。(これがなかったら、受けてなかった)
トレーニングには、6か月間利用できる演習環境iLabsがついてきており、この環境でツールなどを手を動かしながら確かめることができます。
また、トレーニングで使うテキストを読むことで、次に紹介する問題集がより解きやすくなります。
トレーニングは5日間で、テキストの内容を説明・補足・演習の構成になっています。
書籍
書籍は問題集のみを購入しました。
- CEH Certified Ethical Hacker Practice Exams, Fourth Edition (English Edition)
問題は実践に近い形のものであり、解説も(冗談なんかも入れながら)丁寧でわかりやすい問題集となっていました。
試験前日までこちらをひたすら解きながら、わからない単語やツールのオプションについてはその都度調べていました。
ただし、この本はv10対応のものであり、現在はv11の試験となっています。
つい最近、v11対応のものが発売されていますので、今後受ける方は以下のバージョンを購入したほうがいいです。
- CEH Certified Ethical Hacker Practice Exams, Fifth Edition (English Edition)
受験
受験日設定を8月上旬に行ったのですが、その際に受験日を後ろ倒しにしてもだらだら勉強するだけであまりよろしくないと思いなおして、三週間後に設定しました。一通り勉強をしていたので、残りの三週間は集中してわからないところを重点的に勉強することができました。
試験はテストセンターで受けてきました。
自宅での受験も選択できたかと思いますが、自宅を撮影されることについては拒否反応が出るので、このタイプの試験では会場に行くことにしています。
また、他の試験では受付時に写真撮影をすることが多かったのですが、本試験ではなかったのが意外でした。
試験
試験は、240分で125問出題されます。
各問題は見直しができ、次の設問に進んでも最後に問題を見直すチャンスがあります。
240分の試験時間でしたが90分ほどで解答し終わりました。
見直す時間は十分にありましたが、迷った問題を直感で解いていたこともあり、見直して選択肢を変えて間違っていた方が後悔すると思いなおしたので見直しはやめました。
試験自体にも以下のような不満がありました。
・明らかなエラー問題がある
・原文を見たい
詳細は伏せますが、明らかに問題自体にエラーがあるものが出題されました。さすがにこれはどうしようもなく、念のためテストセンターの方にも確認しましたが、(当たり前ですが)問題の中身は把握されておらず、試験後に問い合わせてほしいと言われました.....
また、英語が主言語の試験の場合、日本語で受験できるのは確かに大変ありがたいのですが、問題を見てると日本語が怪しいものも多々あります。その場合、原文を確認して意訳することができればいいのですが、本試験では原文を表示する機能がなかったため問題文の解読に不安がありました。
結果
試験はPassできました!
Pass!! pic.twitter.com/pcLEIT0Vxj
— セキュリティ猫 (@nekochanSec555) August 31, 2022
ただ、点数が合格点ギリギリだったことは反省すべきところですね。
時間があるときに復習していこうと思います。
感想
試験を受けた感想としては、CISSPよりは簡単だったな、と思いました。
CISSPでも問われた内容(法律関係や公開鍵など)も出ており、比較的に新規で覚える内容が少なく済んだと思います。
ただ、点数がギリギリだったのも事実なので、復習をしながら次の試験に挑みたいと思います。
ラボ環境ももう少し使えるので、ツールの検証などを行っていこうと思います。
また、今年の目標としては以下を上げており、半分をクリアすることができました。。
今年の目標(資格編)
— セキュリティ猫 (@nekochanSec555) January 10, 2022
・AZ-900
- Azure系初心者のため
・SC-200
- 諸事情により
・CEH
- 攻撃系(理論分野)
・OSCP
- 攻撃系(実践分野)
なんか一つだけ(無料で受けるためのセミナー参加などの時間の確保などが)難しい試験が混じっているのでそろそろどうにかしないといけないです.....
次に受験・取得する資格はOSCPの予定です。
こちらはより実践的な試験なので、今のうちから計画しておかないと年内は厳しいだろうなと思っています。
また、せっかくツールを使うような試験を今後も取っていくつもりなので、それを活かせる仕事をしていきたいなー、と思う今日この頃。
どこに行けばできるのだろう...
(門戸を開いているのがSOCアナリストやコンサルや脆弱性診断ばかりなので気が滅入る....)
さいごに【本編】
試験をPassしたので、昼食はうまいものを食べようと思っていたら、
駅近くで「ホルモン定食」なるランチメニューを発見。
これは食べるしかねぇ!、と入店し食べてきました。美味かった....
ホルモン盛定食
— セキュリティ猫 (@nekochanSec555) August 31, 2022
偶然見つけたので、
ホルモンとついて、食べないという選択肢がなくなった pic.twitter.com/KTZn0itcap
ここまで、拙い文章を読んでいただきありがとうございました。
