NICOA

認定ホワイトハッカー試験(CEH:Certified Ethical Hacker)に合格できた勉強法

認定ホワイトハッカー試験(CEH:Certified Ethical Hacker)に合格できた勉強法
どんな記事?

  • 認定ホワイトハッカー試験(CEH)に1発合格できた勉強法をご紹介
  • 「攻めの視点」でセキュリティを学ぶ資格
  • 自信をつけることができました

1年半の資格取得計画ここに完結!

NICOAをご覧頂きありがとうございます、Jimon(@jimon_s)です。

認定ホワイトハッカー資格をとる、こう決めてからはやくももう1年半。

の順で、少しずつ知識を深めていく計画もいよいよ大詰め。最終関門「認定ホワイトハッカー試験(CEH:Certified Ethical Hacker)」を受けてきました。

CEHは受験終了直後に合否結果が出るタイプ。採点ボタンをクリックする手の震えが止まりません。

結果は、

  • 125点中90点(=72%)

かなりギリッギリでしたが、無事1発合格できました!

というわけで今回も、次受ける方へのバトンとして記録を残しておこうと思います。

スポンサーリンク
目次

認定ホワイトハッカー試験とは

応用情報やネスペと違い、聞きなれないと思うので、サクッと資格のご紹介を。

ひと言で言えば、「悪いハッカー(クラッカー)の目線で、考えられる」ことを証明する資格。

なので、ほかのセキュリティ資格のように「どう守るか」ではなく、「どう攻めるか」を多く問われます。

問題のジャンルは

  • 過去はやった攻撃手法とその対策
  • ハッキングのフェーズ
  • ホワイトハッカーとして取るべき行動

などなど盛りだくさん。

ハッキングツールの使い方やコマンドなど技術的な問いももちろん出題されますが、加えてソーシャルエンジニアリングを防ぐ方法やホワイトハッカーとしてとるべき行動など、オフラインな内容もでてきます。

「セキュリティ監査中に犯罪の証拠見つけちゃったらどうする?」みたいな問題がその例です。

「攻撃できる」ようになるわけではない

資格の名前から勘違いしがちですが、認定ホワイトハッカー=ペネトレーションテスト(システムを実際に攻撃してみて、安全かどうかを確かめるテスト)ができる、ではないのでご注意を。

あくまで、「考え方を身につけている」証明だと思ってください。

受験の動機

参考までに僕の受験の動機と背景を少しだけ。僕のレベルがわかった方が、勉強法を合わせやすいと思うので!

主な受験の動機は

  • 若いうちに得意な領域を作りたかった

これに尽きます。

僕のいまの仕事は、メーカーのIT部門のマネジメント。もともと情報系卒でない僕ですが、学生時代にITにハマり、就活は「ITやらせてください!」の一点張り。ありがたいことに、希望の仕事をもらえています。

ただ、贅沢な悩みですが、マネジメント職にありがちな「自分で手を動かす機会が少ない」問題にぶちあたっていて、技術的なスキルの伸び悩みを感じています。

もちろん、業務でまかなえない部分を「退社後や休日に自己研鑽する日々」を送ってはいます。ただ日中手を動かし続けている方々にはとても追いつけず、「同じ分野だけ」で闘うのは苦しいなと。

であれば、他のひとがもっていない「唯一無二」のスキルをなにか身につけたい。こんなことを思うようになりました。

ほかの人がもっていないスキル、を考えたときに行きついたのが、攻めの視点のセキュリティ

「漠然と危ない」ことはみんなわかっていても、「じゃあどう攻めてくるの?」って答えられる人少ないのかなと。

さらにいうと、セキュリティは「手を動かす」だけでなく「知っている」ことでも十分に成果を望めるスキル。なので、いまの僕でもすぐに活かせるなと。

こうして、僕は認定ホワイトハッカー取得を心に決め、取得に向けて動き始めました。

幅広い知識を身につけよう

では、本題へ。

認定ホワイトハッカー試験は

  • 受験資格の取得: CEHの特別講座を受講 or セキュリティ業務に従事していることを証明
  • 試験受験: 全125問の4択問題で、70%以上を獲得

の2段構成。だれでも受けられるわけでなく、まずは受験資格の取得が必要です。

また試験問題は、特別講座で取り上げられた内容以外も山ほどでてきます(Powershellのコマンドetc...)。

なので、幅広い知識を身につけることが合格への道!
テキスト/動画視聴での基礎固め+問題集回答ももちろんですが、日常的にいろいろな分野を見ておくことが大切です。

勉強時間の配分

認定ホワイトハッカーそのものの勉強期間は、12月-2月の3ヶ月。

といっても、この資格を取るための前提知識習得として、

  1. 応用情報
  2. ネットワークスペシャリスト

を取得してきたので、トータルすると1年半くらいかかってます。

3ヶ月の内訳は、

  • 12月: 講座受講
  • 12月-1月前半: 基礎固め
  • 1月後半-2月: ひたすら問題集

という感じ。

勉強法とおすすめの教材

では、具体的な勉強法について。

今回使った教材/講習は、

の4つ。1つめの講習は受験資格の取得を兼ねてます。

3つめと4つめは、英語なので要注意。(といっても、日本語の教材売ってませんが...)

STEP1 受験資格を獲得

まずは受験資格の取得から。

  • GSX認定ホワイトハッカー養成講座受講
  • 2年以上のセキュリティ業務に携わっていることを、試験本部に通達

のいずれかで取得できます。

僕の場合は、そもそもセキュリティ業務に携わっていなかったので、迷いなく講座を受講しました。

5日間みっちりと

講習は月-金、9:00-18:00でみっちり5日間。
初日に尋常じゃない重さのテキストを渡されます。

なお、講座の費用は試験日込みで53万円
スキルをつけれれば安いもの、と僕は全額自費で乗り込んできましたが、会社で補助が受けれるなら絶対受けた方がいいです。

ちなみに試験に落ちると、再受験に8万円かかります...

テキスト外に価値がある

講座はセキュリティ分野の第一線で働く講師の方々(僕の場合は3名でした)から、指導いただけます。

ざっくりと、

  1. 座学
  2. ツールを使った実践

を繰り返していくスタイル。

座学は、テキストに沿って進むものの、各講師の方からいまのトレンドや実体験を追加で教えていただくことができ、非常に実践的でした。

次受けるみなさんも、講師の方のコメントに全力で耳を傾けるとよいかと思います。

STEP2 復習と体系立ったインプット

講座の受講が終わったら、すぐに復習に入りましょう。先程のテキストとUdemyを利用します。

【情報セキュリティ】Ethical Hacking:ホワイトハッカー入門
【情報セキュリティ】Ethical Hacking:ホワイトハッカー入門
UdemyUdemy

広い範囲を網羅的に解説してくださってるので、受講後の復習にぴったりと思います。

(もしまだ講座を受ける前なら、先に予習として見ておくとより講座が有意義かと!)

STEP3 問題に慣れる

ある程度基礎が固まったら、問題集に移りましょう。僕の場合は、スキマ時間にスマホで復習したかったので、こちらのアプリを使いました。

‎CEH Pocket Prep
‎CEH Pocket Prep
App Store

いろいろアプリやネットの問題集試しましたが、これが1番しっくりきました。

肌感ですが、問題のレベルは易しめです。
通勤通学、ランチの時間などなど、すきますきまで解いて問題に慣れていきましょう。

STEP4 腰を据えて力をつける

こちらはSTEP3と同時進行でOK。時間をしっかりとって問題集をやり込みます。使ったのはこちら、CEH Certified Ethical Hacker Practice Exams

この本、著者が超お茶目。各章のはじめに著者の私生活を交えた説明が載ってます。

「僕はくるおしいほど、アップルパイが大好きなんだ!なのに、なのにどうしてママ!嫌いな野菜を先に食べさせてくるんだ!」みたいな調子ではじまる問題集なんて、他にないですよね笑

内容もそんな人柄がにじみ出ていて、丁寧そのもの
1問1問、正解以外の選択肢にもビッチリ解説が書かれています

よくない点を強いて挙げるなら、1問1答方式でなく、「20問連続で問題→20問連続で回答解説」のような作りなので、すきま時間に使うには向かないこと。

なので、こちらは腰を据えて勉強できる時間に使って、すきま時間は先ほどご紹介したCEH Pocket Prepを使うのがおすすめです。

僕はKindle版を買って、

  • PC/iPadに問題のページ
  • iPhoneに解答解説のページ

のように2つの端末で開いて使っていました。

STEP5 その他のジャンルを網羅的に

最後に、ここはアドオン的でよいですが、できれば

  • PowerShellの基礎コマンド
  • Linuxの基礎コマンド
  • TCP/IPの基礎知識
  • その他ネットワークの基礎知識

などなど、一般的なIT知識をささっと総復習しておきましょう。
確約はできませんが、問題集を見る限り、出題されかねませんので。

数としてはそんなに多くは出題されないと思うので、時間がない場合には優先度低めです。

あとは時間の許す限り、

をやり込んで、試験当日に備えてください。

なにがきても落ち着いて

勉強法は以上ですが、最後に試験に向けて「心がまえ」を1つだけ。

それはなにが出ても動じないこと。

もともと海外の試験を日本語に訳しているのと、なにが出題されるか全くわからない特性上、本当になにを言っているのかわからない問題に出くわすことがあるかと思います。

僕も当日、

  • 問題文の日本語がわからず
  • 選択肢が4つとも問題文と繋がらない

パターンの問題に出くわして、1人うんうん唸ってました。

そんなときでも慌てず騒がず、平常心を保ちましょう。

確実に解ける問題を抑えて、合格を目指してください!

努力次第でなんとでも

もともと情報系卒でなく、「ただ好きだから」でIT系の仕事をもらえている僕。
どことなく劣等感を抱いていましたが、「努力次第でなんとでもなる」そんな自信をつけることができました。

みなさんも合格目指してがんばってくださいね!

最後までご覧いただきありがとうございました。
Jimon(@Jimon_s)でした。