SANSが主催する研修であるSEC660コースを受講し、対応するGIAC資格のGXPNを受験し合格した
筆者の背景・受験の理由
普段は脆弱性診断やペネトレーションテストに従事するセキュリティエンジニアです。SANSは初めての受講でした。前提知識として、ペネトレーションテスト関連資格のOSCP、CRTP/CRTEを取得済みの状態でSEC660を受講しました。
受験の理由としては所属組織が150万円もするSANSの研修を補助してくれたためであり、その中でもSEC660が最も業務と近しいだろうと考え選択しました。なお、最初はSEC560で希望を出していましたが「初級すぎるからダメ」という理由で申請は通りませんでした。
GXPNは『情報セキュリティサービスにおける技術及び品質の確保に資する取組の例示 第3版』においてペネトレーションテストに必要な専門性として例示され、下位資格であるGPENも『政府情報システムにおける脆弱性診断導入ガイドライン』において推奨要件となっているため、取得する意義はあると思います。
なお、英語力はあまり強くなく、BleepingComputerの記事が何を言ってるのかまあまあ分かる程度です。就活のときに受けたTOEICで660(奇遇!)だった気がします。ちなみにTOEICのアカウントはログインしなさ過ぎて消されました。あんなに貢いだのにひどい…。
SEC660とGXPNとは
私は今回が初めてのSANS研修・GIAC資格でした。
SANSが主催する研修は多数存在し、SEC660は「Advanced Penetration Testing, Exploit Writing, and Ethical Hacking」がタイトルとして付けられています。SEC660で学習する内容はざっくり言うとネットワーク、暗号、ファジング、バッファオーバーフローという感じですが、詳細はコース概要に記載があるのでそちらをご覧ください。また、SEC660の下位コースとしてSEC560、上位コースとしてSEC760が存在します。各コースに対応するGIAC資格として、SEC560=GPEN、SEC660=GXPN、SEC760=なし、となっています。
研修・教材の感想
SEC660は2024年10月28日(月)~11月2日(土)に6日間の研修を受講しました。
事前に紙形式のテキストが郵送され、pdf版もSANSのポータルサイトからダウンロードできます。研修自体はZoom上で行われ、翻訳は通訳の方がリアルタイムに翻訳してくれます。翻訳はZoomの機能により英語と日本語の音声を切り替える形で、私は日本語の翻訳を主に聞いていました。研修の話は翻訳がありますし、テキストやワークブックも読みやすい英語であるため、研修の受講に関して英語はそれほど壁にならないと思います。
また、全体としてある程度はペネトレーションテストの知識がないと研修中に理解が追い付かないと感じました(SEC560受講済みならカバーされるのかも?)。特にバッファオーバーフローの部分はCPUがこうなってて、レジスタはこうなってて、じゃあオーバーフロー!みたいな感じなので事前知識がないと意味が分からない可能性があります。自信がない場合はHackTheBox AcademyのStack-Based Buffer Overflows(Linux版、Windows版)を受講すると良いです。逆にSectionsを見て内容が想像できるレベルならおそらく問題はないと思います。
研修は6日間の長丁場であるにも関わらず、かなり詰め込まれます。そのため、事前に資料の読み込みとVMの準備・ワークブックの手順をなぞることをおすすめします。研修の内容はテキストをベースとするので先に頭に入れておいたほうが理解が進みますし、ワークブックの内容は研修中に時間を取って作業し、一部は割愛されたりもするのでVM上で完結するものは先に進めてしまって問題ないです。
技術的な内容としては確かに高度(ニッチとも言う?)で楽しかったです。とはいえ、SEC560のシラバスを見ているとSEC560の内容の方が業務で使いやすいので、SEC560を受けてからSEC660へステップアップするのが良いと思います。
最終日にはCTFが開催され、成績優秀者にはチャレンジコインが贈呈されます。ネタバレを避けると何も言えませんが、テキストとワークブックの内容を理解した上で、とにかく最後まで諦めない心と運が大切です。
届いた pic.twitter.com/rbvsuOJjHS
— pome (@pome_11) November 18, 2024
勉強方法・スケジュール
研修受講後、4か月以内にGXPNを受験する必要があります。私の場合は11月2日に研修が終了したため受験期限は3月9日(日)でした。
なお、私は計画性がないため12月11日~2月18日まではCISA受験に集中していました。計画的な受験を強くおすすめします。ちなみに、延長することも考えましたがGIACの価格表を確認すると延長が$479で再試験が$899なので突撃した方がお得だと思います。
研修終了後、ブログ記事や講師の方のアドバイスを参考にしつつインデックス作りを始めました。インデックスとは、どの単語がどの場所に記載されているのか一覧化した目次です。ASLRに関する記述が2冊目の34ページにある場合は、「ASLR 2:34」という行になります。
インデックスを作成しつつ、CISA受験を終え、再びインデックス作成を行っていると、気付けば受験期限の3月9日が迫ってきました。2月25日時点ではインデックスの作成すら終わっていませんでしたが、ひとまず3月7日に西新宿の試験センターで予約を入れました。試験会場は東京周辺であれば数か所あり、平日であれば取りやすいように見えました。休日の場合は結構前から予約する必要がありそうです。研修終了から4か月以内に受験が必要なので先に席を確保しておくと良いです。おそらく日程の変更はできたと思うので、迷ったら規約を確認の上で早めの予約をおすすめします。
その後インデックスの作成を終え、3月5日(水)の明け方に模擬試験1を受験したところ合格ギリギリの67%でした。内容を復習の上3月6日(木)の明け方に模擬試験2を受験したところ86%でした。2回目の点数が上がっているのは問題の重複があったためです(高いお金払ってるのに、、)。ちなみに模擬試験の形式は本番に忠実であるため本番も安心して受験することができます。ただし、模擬試験特有の注意点として右上の設定から解説を常に表示するオプションを有効にする必要があります。これを入れないと解説を表示してくれません。
3月6日は模擬試験で分からなかった部分を重点的に復習し、その後3月7日午後の受験までの時間は移動中も含めひたすらテキスト+ワークブックを通読し改めて頭に入れました。
試験
試験は60問を3時間で解き、67%以上の正答率で合格となります。
持ち物はテキスト5冊、ワークブック1冊、英和辞典(メルカリで適当なものを購入)、インデックス(自作の単語昇順と記載場所昇順、ワークブックのラボの目次、配布されたインデックスの4種類)でした。インデックスは一覧性が大事なので印刷する際には極力文字を小さくして少ないページ数に抑えました。身分証明書としてはパスポートと運転免許証を提示し、運転免許証を会場内へ持ち込みました(薄い方が楽)。ちなみに、英和辞書は箱をロッカーにしまうように要求を受けました。受付列に並びなおすのも面倒なので事前にしまっておくことをおすすめします。
当日は15分前に着くことが要求されるので少し早めに到着して状態を整えると良いです。休憩を取ることができると思いますが、3時間なので思考の連続性も考え、一気に駆け抜けた方が楽かもしれません。
机は一般的なCBT用の机なので、資料は広げられますがそれほど広くはありません。最初はキーボードをモニタ側へぐいっと押しやりましょう。また、問題は一部スキップすることが可能であるため、調べるのに時間がかかりそうな問題は諦めてスキップするのが良いと思います。私の時間配分は「2時間で知識問題。1時間で実践問題。ただし知識問題で多少押してもよし」という方針で行きました。
試験を終了すると模擬試験同様アンケートに回答し、その後試験結果が表示されます。また、私の場合は受験後2時間程度でGIACから合格通知が届きました。
感想
ペネトレーションテストの技術を一段高めるという点で良いコース・資格だと思います。とはいえ、直接的な業務との結びつきで言えばSEC560の方が近しいようにも見えるので、SEC560・SEC660・SEC760という順にステップアップするのが良いのかもしれません。
今後の予定
SANSは高いのでしばらくはお休みな気がします。