「CEHに合格した話」の続編です。CEH MASTERになるまでの流れと思ったことを記載します。
CEH MASTERとは
CEH MASTERとは、CEH試験とCEH Practical試験に合格すると自動的に付与される資格(称号)です。
CEH試験とは
一般的にCEH(Certified Ethical Hacker)と言った時にはこちらを指します。20のドメインについて体系的な知識を身に着け、リモートかテストセンターにて4時間で125問に回答します。
CEH Practical試験とは
CEH Practical試験は実技を中心とした試験です。ブラウザで接続する攻撃用仮想環境から20問の設問に答えます。分かる人にはTryHackMeみたいな形と言うと伝わりやすいかもしれないです。
学習方法
当時キャンペーンを行っており、CEH+CEH Practicalのセットが安かったので「CEH Practical(実技試験)&対策講座」を受講しました。対策講座の内容は要点を絞ったものでコマンドレベルの理解も深めやすく、実際の出題と一致していたため受ける価値はあると思います。また、細かな注意点(試験を受けるまでの流れ、受験時の机周りの要件、身分証の話など)があったため受験時の安心感につながった気がします。
その他、研修以外では他の人のブログを漁ったり、Youtubeに解説動画が上がっていたためそれらを眺めていました。それらを含めて出そうな部分をiLabで手を動かして確認するという流れでした。
CEH Practical試験
自宅からリモートで受験しました。ブラウザから仮想環境へ接続し20問の設問に答えます。オープンブック形式なのでGoogle検索などで調べることはできますが、Google翻訳の使用については「No.」とのことでした。
試験の内容には詳しく触れませんが、iLabを用いた演習をしっかりと行っていれば問題ないと思います。
試験結果
16/20でした。ネット上では満点の人が多かったので簡単だろうと思いあまり対策せずに受験したところ、わりと危なかったです。ネット情報を鵜吞みにして対策を怠ると「あれ、なんか聞いてた話と違う…」となります。
つらかったこと
・試験トラブル
Proctorに操作を引き渡した後、試験用の仮想環境が立ち上がらないという事象が発生しました。再ログイン、キャッシュの削除、別のブラウザで試す、しばらく待つ、Proctorがサブドメインをwwwからusに変えるとなぜか起動する、という流れがありました。結局開始が30分ほど遅れてとても焦りました。
・USキーボード
仮想環境ではUSキーボードとして認識されるらしく、特殊文字の配置が異なるので文字がなんとなく打ちにくかったです。
・ツール関連
いつも使っていたツールが入っていなかったり、インストールできなかったりします。iLabでどのツールが使えるのか事前に確認した方が良いかもしれません。また、OSに関しては最新のものに慣れておくと良いです。
・英語
私の英語力が高くないのと、Proctor側の音質がそれほど良くなかった(普通のオフィスレベルの雑音が入ってくる)ので聞き取ることが難しかったです。テキストチャットが可能なので素直にテキストチャットに切り替えてもらいましょう。
・一部マシンが重い
1台だけ動作がとんでもなく重いマシンがいました。1リクエスト10秒くらい。仮想環境の再起動ボタンを押したものの挙動が変わらなかったので、結局あれはなんだったのか謎です。
・マルチモニター禁止
普段は27インチディスプレイを4枚使っているのですが、CEH Practical試験では1画面しか監視できない都合上マルチモニターが禁止されます。単純に作業領域が狭いとつらいです。とはいえ実際の案件ではノートPC1台だけ現地へ持ち込むことも想定されますし、そう考えれば不満も多少は薄れます。
注意事項
今後受験する方に役立ちそうな情報をつらつらと書きます。
・パスポート取得
政府認定のIDとしてはパスポートが一番安心できます。CEH PracticalやOSCPなどをいつか受けるかもしれない方は、旅行の予定がなくとも10年用を確保することをお勧めします。
・試験申し込み
基本的に1.5か月先まで埋まっていたため早めに予約することをお勧めします。リスケも可能なのでひとまず予約しておくことが大事です。
・部屋の片付け
CEH Practical試験ではマルチモニター禁止で、試験用以外の情報端末(PCやスマホ)を出していると怒られます。ワンルームだと特につらいですが余裕をもって片付けましょう…。
「Is CEH Worth It?」に対する個人的意見
Google検索の候補に「CEH 意味ない」が出てきたり、redditで立っている複数のスレでCEHは最悪だと言われています。また、これに対してEC-Councilは「Is CEH Worth It?」という記事でメリットを主張しています。
様々な観点があるとは思いますが、個人的にはCEH試験自体は価値が低いと思います。その理由は単純で「ceh dumps」と検索するだけで大量の過去問が出てくる状況であり、Udemyでは本番とほぼ同じ問題が収録されていました。もし問題が漏れているのであれば、その試験は知識ではなく暗記力しか測れないと思います。(同様の理由で私は最近AWS資格が好きではないです。)
余談ですが、Certified Ethical Hackerという名称のわりに、情報セキュリティにおいて最も重要な倫理の要素が少ないことも好ましくありません。脆弱性自体の理解よりもツールの使い方に重点を置いていることからも「スクリプトキディ養成講座」の方が実態に即しているように感じます。
CEH/CEH Practical試験は受けるべきか
CEH試験自体には価値が低いというのが私の意見ですが、CEHを保有することに対してはある程度の価値があると思います。
・受験要件
CEHを受験するには公式トレーニングに参加するか、情報セキュリティ領域における2年以上の経験が必要となります。50万を払う会社の覚悟か、2年以上の実務経験が必要となればある程度素人ではないという保証になると思います。CISSPが評価されているのも「4年以上の業務経験が必要」という条件が厳しいからではないかと推測しています。
・『情報セキュリティサービスにおける技術及び品質の確保に資する取組の例示』
経済産業省の『情報セキュリティサービスにおける技術及び品質の確保に資する取組の例示』では、「脆弱性診断サービス/機器検証サービスの提供に必要な専門性を満たすとみなすことができる右に例示する内容相当の資格」としてCEHが専門資格として紹介されています。これにより案件の要件としてCEH保有者を求めるケースが増えている気がします。
案件の受注機会が増えるのであれば資格として有益ですし、顧客が安心できるのであればそれに努めるのは誠意だと考えます。
また、CEH Practical試験を受けてCEH MASTERとなることに関しては以下のメリットがあります。
・名称が格好良い
CEH MASTERという肩書はポケモンマスターと同じくらいの格好良さがあると思います。
・120 ECE
CEH Practical試験に合格すると120 ECEを申請することができます。
What certifications from EC-Council are included in the ECE system?EC-Council Examinations (CEH, CEH (Practical), ECSA, ECSA (Practical), CCT, CPENT, LPT, LPT (Master), ECDE, WAHS, CHFI, EISM, CCISO, CCSE, CND, ECIH, EDRP, CASE, CSA, CBP, CPM, CTIA, ECES, ECSP, ICS/SCADA Cyber Security, CEI, CAST, CIMP and CDM) : 120 credits.
つまり、CEH試験単体では3年間に120ECEを溜めないと更新できませんが、CEH試験とCEH Practical試験を同時に合格することで最初の3年分のECEを稼ぐことができます。
最後に
いろいろと書きましたがCEH/CEH MASTERは取って損がない資格です。ただし、セキュリティ教育はやけに高いのでコスパ良く学習することがおすすめです。CEHの概要を見てレベルが高いように感じるのであれば、50万を払ってトレーニングを受ける前に£12.00/monthだけ払ってTryHackMeで練習するのもアリだと思います。
ちなみに私はこれからOffSecのLearn Unlimitedに1年間引きこもります。
タイムライン
2023年3月13日~16日 CEHトレーニング受講
2023年3月28日 CEH試験(Score:86%)
2023年6月16日 CEH Practicalトレーニング受講
2023年6月30日 CEH Practical試験(16/20)
2023年7月1日 CEH Practical試験で120 ECE申請
2023年7月13日 7営業日経ってもECE申請通らないので問い合わせ
2023年7月14日 120 ECE認定