目次
公開日:2020年10月3日
更新日:2022年3月8日
コロナ禍の在宅勤務期間を利用し、認定ホワイトハッカー(Certified Ethical Hacker, CEH), v10という資格試験に合格し認定された。受験前に多くの記事を参考にしたので、今後の参考にしてもらえるようまとめておきたい。
https://ciso.eccouncil.org/portfolio/4th-edition-ciso-summit/ceh-v10-logo/
CEH(認定ホワイトハッカー)とは?
CEH(Certified Ethical Hacker)は、ホワイトハットハッカーの資格である。
どうやら業界では広く知られている様子でいろんなランキングに出て来ている。
サイバー攻撃のディフェンス側の視点を身に着けることが出来る。現場のv10はIoTやクラウドにも対応。
検索した限りでは、
Best InfoSec and Cybersecurity Certifications of 2020では1位。
Top 10 Most Popular Cybersecurity Certifications In 2019では3位。
NSAやDoDの必須資格として規定されているらしい。
日本ではCISSP(Certified Information Systems Security Professional)と並び、官公庁をはじめとした入札案件の条件になっている。
転職求人にも記述されている。
とまあ、いろいろあるようですが、詳しくは他の方々のブログや資料を参考いただきたい。
CEH(Certified Ethical Hacker:認定ホワイトハッカー)のご紹介
バックグラウンド
CEHに関係しそうな資格・経歴・経験を列挙する。
関係しそうな背景・資格
- Ph.D. 量子物理学 ケンブリッジ大学
- 工学修士・学士(応用物理学・情報工学) 慶應義塾大学
- CAMS(Certified Anti-Money Laundering Specialist 公認アンチマネーロンダリングスペシャリスト)
- CISA(Certified Information System Auditor 公認情報システム監査人)
物理学・情報工学系で修士号と博士号、セキュリティ一般やガバナンス、監査に関する別の資格を保有しているため、科学的な情報理論やセキュリティにおける監査・マネジメント方面にはある程度は前提知識があった。
関係しそうな経験・経歴
- 外資系コンサルティングファーム勤務(リスク・マネロン・セキュリティ分野)
- ウェブサイト・ドメイン、サーバーの運営や基本的なサイバー攻撃対策の設定の経験も含めると約5年+。
- プログラミング数年。受託など含め、開発したサービスは商用利用されている。
- 趣味で自分のサイトにTor(ダークウェブ)を使ったプログラムでアクセスしてみたりなど。
- 基本的なKali Linux(ペネトレーションテストツール)の扱いは分かる程度。
- プログラムやセキュリティはある程度はコードや運用の経験がある状態であった。
英語
英語は実務に支障がないレベル。日本語よりも英語での業務の経験の方が長い。なおTOEICの点数は知らない。海外と日本の就職活動の歴然とした差を実感。海外大博士から見た就職活動
試験について
登録
まずEC-Councilのページから申し込み。
受験資格の認定にまず費用が掛かる。受注して他の組織のセキュリティセッティングも行ったことがあるが、仮に実務と認定されなかった審査料は無駄になり、試験を受けることが出来ない。一方で「こちらのパッケージに申し込めばトレーニング動画や環境もすべてそろって、確実に認定試験を受けられる。どっちにする?」という営業メールが来た。そんなに値段も変わらなかったので(もし審査に落ちたら、こっちの方が得するくらいになってしまう)結局パッケージ(英語版)を申し込んだ。
なんだ営業の思うつぼではないか。なお日本語版の現地の5日の詰め込み集中コースも行われているらしい。そして日本語コースは50万円程するらしい。
オンラインコース
EC-councilのオンラインコース(全部で10時間くらいのやつ)を見る。これを見ないと受験資格にならないらしい、という表示にもビビり、どうにか最後まで見る。付属のハッキング実習も出来るLabも行う。
なお動画は公開はしてはいけないようなのでYoutubeの他の動画から。
雰囲気的にはこんな感じの動画であった。
長いし眠くなる。つい途中でサブの画面でAmazon Primeで映画とか開きたくなってしまう。
最近の大学生は凄い。新型コロナの影響でオンライン講義ばかりになり課題に追われているらしい。
個人的にはそんなことをされれば、バックレるか、寝落ちするか、開いて受講しているふりをしてAmazon Primeで映画見そうである。キャンパスライフのない講義だけの大学とかもう、自分なら辞めたくなってしまうだろう。
手取り足取りやって確実に合格したい方はこういうサービスもあります。いろいろなタイプのパッケージがあり練習にはもってこいです。(しかも安い)
https://ethicalhackersacademy.com/
参考書
ネット評判を購入したのはこの3冊。購入もこの順番。
CEH v10 Certified Ethical Hacker Study Guide (英語)
CEH v9: Certified Ethical Hacker Version 9 Practice Tests (英語)
CEH Certified Ethical Hacker Practice Exams (英語)
内容では、セキュリティ一般、運用、ガバナンス、ネットワーク、暗号などは既視感が凄かった。
一部のエンジニアリングの設定も実際にいじったことがあるので半ば常識くらいに思っていた。一方で、各種暗号やアルゴリズムの細かい部分、例えばBit数やWifiの通信波長帯、ポート番号、ハッキングツール名やコマンド、マルウェア名は聞いたことがないものが多く、少々面を食らい、この辺りを重点的に対策を行った。そして、公式ページによると、この試験ではこの辺りの比重が非常に重いようである。
さらに試験直前になって英語版でも検索をすると、70%では不合格になる例もあることを見つけ焦り、またBosonというテストが良いとのこと。こちらは日本語では紹介されていなかった。一応こちらも取り組んだ。
Has anyone passed CEH exam with score of below 100 in last two months ? Now I believe exam pass score is either 80 % or 90 %
I failed with 93 out of 125 correct (74,4%)
基本は問題を解きながら分からないものはネット検索。以下のようなページを毎回見ていたら、ポート番号やエラー番号なども自然と覚えていった印象。
【一覧】ICMP ポート番号, Type/Code ~種類とメッセージの意味について~
List of TCP and UDP port numbers
17 Nmap Commands With Examples For Linux Network & System Administrators
このサイトにも大変お世話になりました。「分かりそう」で「分からない」でも「分かった」気になれるIT用語辞典
試験
試験は4時間で125問。上記の参考書を全2-3周した後に受験。
結構教科書に似ている印象であった。
確実に75%は超えたと思ったものの、終了時点では多少緊張し心拍数が上がった。Submitをクリックすると無事合格。直後にはセクションごとのスコアも表示された。
得点率は92%。
結果は画面に「Congratulations!」と出るだけのあっけない方式。
正式な証明書は数日後にメールでPDFファイルが送付されてきた。
なお、92%は高めのようで、以下のような追加コメントが来ていた。
感想
まずSybexの教科書を買った理由はCISAやCISSPの教科書として購入した際のウェブテストプラットフォームが気に入ったため。ただ内容としてはCEHの範囲外の問題が一定数入っていた様子である。Amazonコメントにもあるように間違いも散見された。
3冊目のMatt Walkerの本にもオンラインテストは付属されていた。Matt Walkerの本の付属テストと同レベルの印象であった。そして多くの方々が言及しているが、Matt Walker氏の本は読み物としても面白いので、こちらを最もお勧めする。そしてこのMatt Walkerの教科書の問題が最も本番に近かった印象である。
Bosonの問題も解説が丁寧で自習には適していたが、難易度は本番よりも高めであった。大学受験の際の駿台模試のような印象であった。
正直なところ対策量は多すぎたように感じる。
改めて思えば、
- CEH Certified Ethical Hacker Practice Exams (英語)
- Boson
これだけで行けたように思う。共に解説が非常に詳しく自習に適している。
結局講義動画は役に立ったんだろうか…?まあこれは元々、私が授業があまり好きではなく、大学でも大教室の講義は眠くて仕方がなかった私の性格のせいかもしれない。
合格したのに何もないのではなんだかさみしいので、ハッカーのような背景でフードを被りガイホークスのマスクをして記念撮影をしておいた。
こちらのマスク、2枚で1000円。20年前のお値段です。
ブラックハットやハクティビストのようであるが、CEHの対策コースの画像もフード被っている同じような様子であったので、まあ問題ないのであろう。
(Google)
監査やセキュリティの資格を生かした転職
資格取得を目指す人が気にすることに、転職があるだろう。
これらの資格を生かした転職は、基本的に年収が高めになることと、この業界では日系よりも外資の方が資格を認めやすい傾向にあるので、いわゆるハイキャリア系のサイトに集まりやすくなっている印象である。同時に、スポットでも入れるような資格であるため、エンジニアやフリーランスも、資格名で検索すると多くの案件がヒットする。
以下のようなサイトでは、それらの求人が集まっている。(案件はメールで監視をし、該当する案件を発見し次第、随時追加している。)
アカリク就職エージェントは、大学院生(修士・博士)、ポスドク専用の求人紹介サービスです。
大学院生の就職活動を支援してきたアカリクだからこそできる院生を知り尽くした転職サポート。それが『アカリク転職エージェント』
一般的に転職の求人は業界の仕組みとして、会社よりも、担当者・案件・タイミングの組み合わせによるので、一つのサイトだけに登録するよりも、興味がある分野に引っ掛かるサイトに片っ端から登録し、自分でメールのフォルダやフィルタ等で管理することが最適になる。
利用者は基本的に無料なので多く登録しても損することはない。
(もちろん掲載サイトとしては、多く登録して欲しい!が、実際に私も就職する際には、該当するサイトを片っ端から登録した。そしてそのメールから案件を見て記事に組み込んでいる)
なおLinkedinで資格名を書いておくと、たまに海外からも連絡が来るが、これは狙って案件を見ることは難しい。
以上参考いただければ幸いである。
参考サイト
【蓄えた知識の集大成】認定ホワイトハッカー試験(CEH:Certified Ethical Hacker)に合格できた勉強法
Certified Ethical Hacker – Online Practice Exam (もしかしたら過去問かも)
CEH(Certified Ethical Hacker) v10 合格 に要した諸々(使用教材 勉強法 学習期間 申込手続 本番試験の感想など)
ほぼ素人がCEH (Certified Ethical hacker) に合格したので勉強方法まとめる
https://github.com/scottymcraig/CEHv10StudyGuide
CEH(Certified Ethical Hacker)に合格するために実施したこと
【CEH】認定ホワイトハッカー試験に合格するための方法解説!【Certified Ethical Hacker】
CEH(Certified Ethical Hacker:認定ホワイトハッカー)のご紹介
コロナ中に「(国際資格)に独学で合格!」シリーズ
CISSP(認定情報システムセキュリティプロフェッショナル)に独学で合格!資格試験対策難易度
CISM(公認情報セキュリティマネージャー)に独学で合格!資格試験対策難易度
CISA(公認情報システム監査人)に独学で合格!資格試験対策難易度
CEH(認定ホワイトハッカー)に独学で合格!資格試験参考書対策
CAMS(公認AMLスペシャリスト)に独学で合格。マネロン資格試験難易度対策
PMP(プロジェクトマネジメントプロフェッショナル)に2週間で独学で合格!資格試験対策方法難易度参考書
国際資格の試験一般についてはこちらの記事を参照ください。
どのような資格を取得すればいいか?についてはこちらの記事を参照ください。