CEHに合格した話

(注:2023年3月時点での情報です)

CEHに合格したので、流れやおすすめの教材をメモ。

 

私について

普段は脆弱性診断やペネトレーションテストに従事している。

保有しているセキュリティ資格は情報処理安全確保支援士とCISSP Associate。

 

受験の動機

世の中にはセキュリティ資格があふれているが、CEHは経済産業省の『情報セキュリティサービスにおける技術及び品質の確保に資する取組の例示 』のなかで、「脆弱性診断サービスの提供に必要な専門性を満たすとみなすことができる専門資格」として認定されている。

そんななか、たまたま受験できる機会が巡ってきたので受験することにした。

 

CEHv11研修

5日間の研修に参加した。研修の流れとしてはスライドを投影しながらの説明→仮想環境を使用して手を動かしながら理解を深めるの繰り返しだった。

CISSPと比較して手を動かせるあたりは楽しいと感じたが、演習のみで診断業務に従事するのはさすがに厳しいと思うので、その後TryHackMeHackTheBoxで鍛えることをおすすめしたい。

なお、仮想環境を使用した演習はトレーニング中に演習時間が確保してあるものの、すべて網羅するには絶対に時間が足りない。そのため、トレーニングが始まる前に仮想環境を一通り予習しておき、本来の演習時間で分からないところの確認をするという流れをおすすめする。

また、仮想環境を用いたトレーニングの際には可能であればマルチディスプレイの環境を用意した方が良い。WindowsとLinuxとテキストなど、同時に見たい画面がたくさん出てくる。ディスプレイの数が足りない場合は物理テキストの購入を検討した方が良いかもしれない。

 

試験準備

Udemyの問題集PocketPropを使用した。結論から言えばUdemyの問題集だけ勉強しておけば試験には受かる。

Udemyの問題集には合計490問が収録されており、これを2週した。1週目は普通に解き、2週目は間違えたところを中心に眺める形。この問題集で悪口を書かれている問題は覚えておくと良い。

PocketPropに関しては一問一答形式で勉強したいため1ヶ月課金したが、設問があまり好きではなかった。まずは無料分を触ってみることをおすすめする。

 

試験の予約

トレーニングにピアソンVueのバウチャーが付いてきたため、ピアソンVueで受験した。

まずは予約を行うことをおすすめする。CEHは4時間の試験であることもあり、予約を取りにくい印象がある。また、私は年度内の成果にしたいため3月末に受験したが、皆同じことを考えるため3月末の空席はほとんどなく、わざわざ遠くのテストセンターへ赴くこととなった。

ピアソンVueであれば試験の再設定は可能かと思う(テストセンターの場所と時間が再設定できそうなところまでは確認した)ので、まずは試験予約をすることをおすすめしたい。

 

試験

ピアソンVueのテストセンターで受験する場合、少し早めに到着することをおすすめしたい。CISSPのときもそうだったが、30分ほど着いてもなぜかそのまま受験できる。早く着く分には復習や休憩時間に充てられるが、遅れるとその時点で不合格となり再受験料が必要となるので、早めに到着する方が良い。

日本語に関しては比較的まともで、原文に直すボタンはなかった。また、問題の見直しに関してはいつでも可能な形だった。試験時間は4時間で125問なので、ゆったり落ち着いて解くことをおすすめする。全問解き終わったら10分くらい仮眠して再度見直すくらいでちょうど良い。

試験内容については詳しく書かないものの、Udemyで見たものと同じ問題が出たり、帰ってから覚えている問題文を検索するとヒットしたり、そんなことがあった。なお、他のブログでもよく言及されている問題文のエラーについては出題された時点で諦めるしかない。

 

感想

CEHが直接実務につながるかと言うと微妙なところだが、情報セキュリティに関する知識を幅広く取り入れるのであれば有用な資格であると考える。

まずは受験料も安く教材も豊富な情報処理安全確保支援士を取得し、その後手を動かせるようになるためにCEHを受けるのが良い気がしている。

好きなところ

幅広い分野の知識が付く。実務ではあまり触れない暗号技術も復習できたのでそこは良かった。

電子テキストの全文検索ができるため、効率的に学習を進めることができる。

トレーニングに仮想環境があるため、実際に手を動かすことができる。初学者にとって学習用の仮想環境を複数OSに渡って構築するのはハードルが高いと思うので、これはおすすめ。

好きではなかったところ

nmapのオプション自体を覚えさせるところ。客先環境で叩くなら暗記じゃなくて一つ一つ確認したい。

10年近く前の脆弱性について出題する必要があるのか疑問。HeartbleedやShellshockなんて2014年のものだし、クリティカルな脆弱性なんてどんどん出てくるこのご時世に試験の更新は間に合わないだろうし、だったら出題しなくて良いんじゃないかって思う。

トレーニングの仮想環境でやたらとWindowsアプリケーションをインストールするところ。客先環境でクローズドソースだったり、何年も更新されてなかったり、有償なツールをインストールするのはあまり好きじゃない。可能な限りPowerShellなど標準機能で完結させたい。