GCIH (GIAC Certified Incident Handler)対応のSANS SEC504 (SECURITY 504)コースを個人で受講したため、自身の振り返りと参考情報として記録を残しておきます。
トレーニングや試験の内容には守秘義務で深く触れられないため、個人で受講する方の参考になりそうな情報をメインで書き残しております。
SEC504コースの概要
SEC504コースはセキュリティ業界では世界的に有名なSANSのトレーニングになります。
高度な内容を体系的に学べる機会をトレーニングを通して得れる点が魅力であり、SEC504コースではセキュリティにおける攻撃と防御の両側面を学べます。 そして、GIAC試験のGCIH (GIAC Certified Incident Handler)資格に対応しています。
専門性が高くなるほど体系的に学べる機会が少なくなると常々感じていたので、貴重な機会を得るために筆者は2022年頃01月頃に受講しました。
受講費用
受講費用はオプションがあるため選択によって異なってきます。
筆者はトレーニングとオプションのGIAC試験を申し込みました。 資格試験の受講費用を抑えたかったので早期申し込みのキャンペーンを活用しています。
トレーニング: 790,000円 (税込み 869,000円) ※キャンペーン価格
GIAC試験 (GICH資格の試験): 105,000円 (税込み 115,500円)
合計金額は 98万4千500円 となりました。
その他に、NetWars Continuousや英語教材もありますが、費用が掛かりすぎるので必要最低限にしておきました。 また、NetWars Continuousに関しては下記サイトの紹介が分かりやすそうでした。
なお、GIAC試験をトレーニングと同時に申し込む場合の注意点ですが、トレーニング完了処理が走ってから4ヶ月以内に試験を受験する必要が出てきます。
GIAC試験には2回分のPractice Test (模擬試験)の受講権利もついてくるため、試験の出題傾向を知るのに適しております。 GCIHの試験に関しては重箱の隅をつつくような問題は特に見当たらなかったのでPractice Testで十分に試験対策ができると感じました。
受講の準備
筆者は昔からSANSのトレーニングに興味があったのですが、お金がないことには受講できないので、検証用のネットワーク機器を買い漁りたくなる衝動を抑えて貯金試験から挑んでいました。
また受講資金の用意だけでなく、トレーニングの受講のために1週間もの有給休暇の取得が必要になるため早い段階から上長に相談して仕事の調整をしておりました。
会社による指示でのトレーニング受講であれば業務時間としての調整になると思いますが、私は個人として受講したので有給休暇による調整でした。
もし既婚者の方が個人受講するとなると、家族会議で稟議を通す必要もあるかと思います。(業務にいくら活きるとしても大金の出費となるので、家計を圧迫するとしてご家族から平手打ちを喰らって張り倒されるかもしれませんが...。)
トレーニング形式
筆者の受講時はオンラインでの開催になりました。 Zoomで講義が配信されており、ラボの進捗状況や、質問のやり取りにSlackを併用しました。 講義は録画されて期間限定でアーカイブされます。ストリーミング再生のみ可能でダウンロードはできないようになっておりました。
教材は紙のテキストと電子版テキスト (パスワード保護 & 電子透かし付きPDF)が提供されており、テキストは日本語スライドと、英語による補足から構成されていました。
月曜日から金曜日はテキスト ベースの講義とラボによるハンズオンです。 ラボに関しては仮想マシン 2台 (Linux & Windows)を手元で立ち上げての実習になります。
土曜日はCTF (Capture The Flag)が開催されチーム戦で挑みます。 1位になったチームにはその証としてSANSのコインが贈呈されるので筆者は技量試しに躍起なりました。 筆者はペネトレーション テストの実務経験がないためCTFと聞くとレベルが高いイメージでしたが、自分が思ってたよりかは問題を解けた気がします。
CTFではラボでも使っていた仮想マシン上からOpenVPNでCTF環境に繋ぎます。 仮想マシンとして論理的に分離されているとは言っても、CTFで競い合うネットワークに繋ぐため、業務用PCのような機密情報が含まれる端末での受講は避けるべきです。
レベル感
GIACは専門性が高いため全体的に高度な内容を扱うコースが多いですが、その中でもSEC504コースは上位のコースへ繋がる基礎的な内容になります。 基礎的な内容と言うと簡単に思えるかもしれませんが、あくまでもGIACのコースの中で見た場合の話になります。
表現を変えると、他の資格と比べた尺度では、ある程度の事前知識が必要なレベル感になります。 仮に新卒入社の方が新人研修の一環で受けるとすると、少なくともレベルが高めに感じるはずです。
筆者の感覚では、同じ分野に属するCompTIA PenTest+やEC-Council社のCEH (Certified Ethical Hacker)と同等かそれ以上になると感じました。 (例に挙げた2つの資格は、当時の時点で筆者は取得済みです。)
ラボではLinuxのCommand Lineを普通に叩くので、LPICもしくはLinuCのLevel 1~2くらいの知識はあった方がいいと思います。
試験の受験
1回目の受験
筆者は割り引きを目当てにGIAC試験をトレーニングと一緒に同時に申し込んだので、4ヶ月以内に試験の受験が必要になりました。 しかしながら、仕事のキャッチアップの都合などもあり、試験直前のPractice Test以外はほとんど準備していない状況で受験しました。
資料の持ち込みが可能なので、筆者は公式テキストをリュックに背負って持ち込みました。 公式テキストだけでもそれなりの重さになるので、試験会場まで長距離移動になる方は体への負担に留意してください。
試験中に持ち込み資料を参照できると言っても、そもそも予め公式テキストを読み込んでおかないと何処に何が書いてあるか分からない状態なので、筆者の場合は持ち込んだ意味をあまり成さなかったです。 GIAC試験では公式テキストから効率的に目当ての内容を見つけるためのインデックスの作成が重要になってくるのは知っておりましたが、それを実際に思い知らされる形になりました。
試験自体は1回目で合格ラインは突破しましたが、後に再テストを要求されましたので2回目の受験が必要になりました。 筆者はCompTIA PenTest+とCEHを長らく勉強していた時期があったので、合格ラインの突破は基礎知識が活きたのが一因にあったと自己分析しております。
2回目の受験: 再テスト (Retest)
まず話の前提として、世間には流出した試験問題集を売っている不正な業者が居ます。
出回っている試験問題の内容や流出時期などの情報と、正答した問題の傾向などが機械的に分析されてチェックに引っかかったようで、受験から1~2ヵ月後に筆者は再テスト (Retest)対象者に選ばれた旨がメールで通知されました。 機械的に分析しているようなので、受験者の誰しもが再テストの対象者に選ばれる可能性があるようです。
資格試験の品質を保つ上でやむを得ない仕組みであるので、再テストが発生してしまったことには筆者は納得しております。 しかしながら、合格したと思っていた状態で再テストが発生するのはとても厄介です。
例えば、筆者の所属会社ではGCIHの資格を保持していると資格手当として毎月 3万円ほど支給されたり、資格取得補助金として受験費用や資格評価に応じた報奨金が支給されます。 所属会社に資格合格の申請を丁度行っていたタイミングでの再テストの通知が来たので、事情説明 (申請の保留)のやり取りの手間が増える結果となりました。 説明の仕方によっては「疑わしきは罰せよ」で試験で不正をするような人だと思われかねないのと、意図しない資格手当の不正受給に繋がる可能性があったので冷や汗をかきました。 それもあって当時は「許すまじ不正業者」と憤ったものです。
再テスト自体は無料となり、2回分のPractice Testも合わせて追加されました。 テキストを読み込みなおす時間もなかったので、Practice Testで傾向対策を万全にして挑んで合格できました。
結果的にPractice Testを計4回 (初回申し込み分の2回 + 再テスト分の2回)ほど受けれたので、試験問題の傾向対策が十分にできたと本当に実感しております。
再テストによって試験対策をやり直さざるを得なくなったので、Practice Testメインに偏ってはいましたが、他のGIACの資格に今後挑む上での収穫になったと考えております。
全体を通して
SEC504のトレーニングを受けてからのGCIH資格の試験受験までの一連の流れで、資格試験の合格に必要な要素はカバーされていると感じました。
例えば、他の資格だとサードパーティから発売されている問題集による出題内容の傾向対策が有用になるケースがあると思います。 具体的には、筆者がEC-Council社のCND (Certified Network Defender)のトレーニングと資格試験を受けた際だと、資格試験がリリースされてから年月の経過が少ないのと、マイナーすぎて米国のamazon.comでもサードパーティーの問題集が見当たらなかったため、CNDの上位資格であるCEHの方が問題集があって傾向対策がしやすい状況になっておりました。 それと対比すると、SANSのトレーニングでは重箱の隅をつつくような問題は特に見当たらなかったので、Practice Testで必要な傾向対策はできたと感じております。
トレーニングによって体系的に効率的に学んだうえで、その内容を理解した証跡が資格試験の合格となると、お金はかかりますがとても合理的なカリキュラムになっていると感じます。
備考
トレーニングと資格受験のタイミングから時間が経ちましたが、当時の状況をまとめていたので振り返りのために書き記しました。
本記事の執筆時点 (2023年08月頃)では、GSX社がEC-Council系の上位資格の国内トレーニングを扱い始めたので、専門性が高い内容を体系的に学べる方法が増えております。
