はじめに

はじめまして。レックT.Jです。 今回はIT資格の中でもちょっとだけ難易度の高い認定ホワイトハッカーの資格「CEH(Certified Ethical Hacker)」を受験してきましたので、合格までの過程をブログに書いていこうと思います。

ちなみに「受験してきました」と、ついこないだ受けて来たかのように書きましたが受験したのは2019年11月なので約3年前になります。
現在は2022年9月にv12がリリースされてますが、私が受験したのはv10になります。
当時とは異なる点もあるとは思いますが大まかな勉強方法とかは変わらないと思うので受験する方は参考にして頂ければと思います。

認定ホワイトハッカーの資格、CEH(Certified Ethical Hacker)とは？

合格体験記を書く前にまずは軽くCEHがどんな資格なのかを説明しておこうと思います。
恐らく知らない方からすると「ハッカーの資格(笑)」みたいなイメージだと思うので。

CEHはEC-Council International(電子商取引コンサルタント国際評議会)という情報セキュリティやe-ビジネスの個人スキルを認定する組織/評議会が提供してる国際的なセキュリティ資格となります。
知識・スキル・攻撃手法を組み合わせたホワイトハッキングスキルの習得を目的としており、ホワイトハッカーとしての「攻撃者視点」の判断力を習得することができます。

また、この資格は受験料さえ払えば誰でも受験できるものではなく、以下2通りの方法で受験資格を得る必要があります。

1.EC-Councilのディストリビューターが提供してる5日間のトレーニング(受験バウチャー込みで約60万円程度)を受講する
2.EC-Councilがトレーニングが不要と判断されるくらいの経験がある場合(ただし、日本語受験はできない可能性あり)

ので、基本的には1.のトレーニングを受ける一択なのかなと思います。
後ほど記載しますが、私が受けたトレーニングは1.とは少し違ったものとなってます。

私の受講/受験時の前提知識編

CEHを受験しようと考えてる方で特に気になるのが、この「受験前から持っていた知識」がどんなもんなのかだと思います。
私の場合はある程度は研修などを受講する前からセキュリティに関する知識などはもっており、具体的には以下となります。

・専門学校で基礎的なセキュリティ知識(CompTIA Security+レベル)や不正アクセスに関する実技授業を受けている
・趣味でCTFをやっていた
・業務でNWエンジニアとしてL4FW(レガシーFW)やUTM/NGFWの導入経験がある
・英語は全くできない

と、いったところになります。

研修編

私の場合もトレーニングを受講しましたが、厚生労働省の中小企業向けの人材開発支援助成金を利用しつつEC-Councilの公認トレーナーの方が月に1回のペースで合計6回開いてくれている研修を受講しました。

そのため、研修時は座学を多めに時間をとってもらい、次の研修までに生徒に渡される検証環境を使った実習に取り組む形をとってもらえたため、実習に好きなだけ時間を割くことができました。
また、趣味でCTFを始めとしたセキュリティ関連の自己学習もしていたので、座学も実習も比較的苦労はしませんでした。
（強いて苦労？というか新しい知見として面白く感じてたのがソーシャルエンジニアリングを利用した攻撃手法のところでした。今でもこの部分は面白かったと強く印象に残っています。）
ただし、一般的な受験ケースでは、5日間連続の研修となるうえ、CTFも未経験な方が多いと思われるため、かなりハードな内容になることが予想されます。。。Try Harderです。w

修行編(受験に向けた勉強)

CEH受験に向けた勉強はどんなことをしていたか？つまり修行編(?)ですね。

勉強方法は大きく以下2つあります。

1.問題集をひたすら(?)解くやり方
2.CEHの勉強会に参加する

問題集をひたすら(?)解くやり方

このやり方は正直嫌々やっていたので、かなりスローペースで勉強してましたw
問題集は「CEH v9: Certified Ethical Hacker Version 9 Practice Tests (English Edition)」をAmazonで購入し、1日10問ずつ解いて間違えた問題や分からないところ、答えに納得いかないところを徹底的に調べて学習を進めてました。
当時受験するのはv10でしたが、まだv10がリリースされたばかりで問題集も出ていなかったので、とりあえずv9で進めてました。
今はv11やv12なども出ているので、私が購入したのと同じシリーズの問題集のリンクを以下に貼っておきますので参考にしてもらえればと思います。
https://amzn.asia/d/bECRVf4

問題集自体は5回分(125問×5)程度あるので、私は4回分までは1日10問ずつ解いていき、残り1回分を前日に一気に解いて試験に臨みました。
勉強期間は(受験がめんどくさくて)バウチャーの利用期限ギリギリまで受験を伸ばしてたので10ヵ月ほどはかけてしまってたと思いますが、普通に勉強サボってる日の方が多いので、私の勉強方法なら「125問×4回÷10+1日」で最短51日ほどの期間で受験できたかもしれません。
また、私は 英語が全くできない ため、スマホ版のKindleで1問ずつ翻訳したい箇所を選択しながら勉強してましたので、英語が苦手な方でもやれる勉強方法(?)です！

CEHの勉強会に参加する

2つ目の勉強方法として、私は「CEHの勉強会」に参加してみました。 CEHの試験問題はかなりくせがあり、「この問の文章だと攻撃Aの可能性もあるし、攻撃Bの可能性も否定しきれない」みたいな問題が多く、なぜこの答えになってるのか自分を納得させるのに苦労した記憶があります。
この辺りを解決したく、「CEHの勉強会」に参加してみました。
IT系の勉強会に参加されたことがある方ならご存知の方も多いかもしれませんが、「connpass」で調べると定期的にCEHの勉強会を開いてくれているので、そこに参加してみるのをおススメします。
問題を解いていくうちに、各々不明点が多く出てくると思いますので、こういった勉強会に参加して思い切って勉強会で講師をしてくださる方に聞いてみるのも1つの手です。

受験編

そんなこんなで、かなり適当な勉強の仕方ですが、まぁ一応問題集を一通りやり切った状態で受験してみました。
CEHの資格試験は、
・制限時間：4時間
・問題数：125問
・問題方式：選択式
と、なっております。

私が実際に受験した際は問題数は1～3問ほど少なかったような記憶なので、人によって問題数も若干前後するのかもしれません。
また、試験時間は4時間ありますが、私は1時間半ほどで一通り解き終えたので、割と解答を見直す時間はあるように感じました。

そんな感じで受験した結果、合格ラインギリギリで合格でした！対ありです！

最後に

なんとか(?)無事にCEHの資格を取得することができましたがCEHホルダーの冒険はまだ終わりません。
CEHはセキュリティ系の活動を定期的に実施/報告し、3年間で120P稼がないと資格の更新ができないのです！
私は絶賛ポイント稼ぎで大変な状況ですが、もしこのブログをみて受験する方は、計画的なポイント獲得を本当に強くおススメします。。。

また、このブログの執筆時に知りましたが、今は「CEH Practical」という実技試験も建て付けられたようなので、機会があればそちらも受験してブログ化してみたいですが、まずは「CEHを更新する」という合格するよりもハードルが高いと思わされるような前代未聞の大きな壁がありますので、そちらの挑戦が終わり次第チャレンジし、またブログ化してみようと思います。

認定ホワイトハッカー(CEH)の資格取得の合格体験記

はじめに

はじめまして。レックT.Jです。 クラウドファーストからクラウドネイティブに移り変わることによって、だんだんとAWSやAzure、GCPなどのパブリッククラウドのセキュリティ対策の必要性が増しているのは皆さんご存じだと思います。
パブリッククラウドのセキュリティ対策でよく聞く名前として、CSPMやCWPPなどの製品導入を検討されたかたも多いと思いますがライセンス費用や導入のSI費用がかなり高額に感じる方がほとんどじゃないかと思います。

有名どころのCSPM/CWPPは高すぎる、けどパブリッククラウドのセキュリティ対策はちゃんとやっておきたい。。。 という要望はあると思います。
※CSPM/CWPPについても近々ブログを公開予定です。
当社でもなるべくコストはかけずにセキュリティを高めたいと考えており、パブリッククラウドの標準サービスだけでどこまでできるかを検証しています。
この記事ではその第1弾としてAWSのSecurity Hubについて簡単にまとめてみました。

AWS Security Hubとは？

そもそも、AWSのSecurity Hubとは何か？というところから説明していきます。
以下、AWSの「よくある質問」にわかりやすくまとまってます。

AWS Security Hub は、AWS 内のセキュリティの状態と、セキュリティ標準およびベストプラクティスに準拠しているかどうかを、包括的に把握できるようにします。AWS Security Hub は、AWS のアカウント、サービス、サポート対象のサードパーティーパートナーの全体にわたってセキュリティの検出結果を一元化および優先順位を設定することで、セキュリティの傾向を分析し、最も重要なセキュリティの問題を特定します。
引用元：https://aws.amazon.com/jp/security-hub/faqs/

ざっくりまとめると、
・AWS内のセキュリティ標準やベストプラクティスに準拠した状態かを評価
・AWSで利用してるセキュリティサービスの一元化
をしてくれるのが、AWS Security Hubとなります。

AWS Security Hubの始め方

Step1:
検索バーから「Security Hub」と検索し以下ページに移動して「Security Hubに移動」をクリックします。
※すでにコンソールにはログインし、東京リージョンを選択しているという前提で進めます。

Step2:
セキュリティ基準で準拠したいものを必要に応じて選択し「Security Hubの有効化」をクリックします。
特に準拠したいものが決まっていなければとりあえずは「AWS 基礎セキュリティのベストプラクティス」を選択しておけば良いと思います。

Step3:
Security Hubのページに移動したら有効化完了です。やったね。有効化直後はまだ何も表示されません。
セキュリティチェックの結果が出てくるまでに最長2時間かかるらしいので、気長に待ちましょう。

AWS Security Hubの見方

Security Hub > 概要

まさに概要。って感じですが、インサイトや検出結果の概要がここにまとまっています。
セキュリティ基準のスコアは有効化してるセキュリティ基準全体のスコアが表示されます。
最終的にはここのスコアをあげていくことが目標になると思います。
ちなみに、ここから無効になっているセキュリティ基準を有効化することも可能です。

実はSecurity Hubはリージョン毎に有効化する必要があるのですが、ここでリージョン別の検出結果が表示されます。

インサイトの検出結果もここに少し表示されます。ここに表示されるものはカスタムできなさそうです。

Security Hub > セキュリティ基準

Security Hubで利用可能なセキュリティ基準ごとのスコアが確認できます。
各セキュリティ基準の説明も記載されていたり、ここから無効化/有効化も可能です。

Security Hub > 検出結果

セキュリティ基準に違反している項目の検出結果をここに表示されます。
ここで検知された項目を対応していくことでセキュリティ基準のスコアを向上させていくことになります。

まとめ

今回は「Part1：Security Hubを使い始めてみる編」ということで、初めてAWS Security Hubを有効化しセキュリティ基準に違反している項目の検出までやってみましたが、案外簡単にできました。 ただ、違反してる項目の対処やそれを定期的に実施するのが大変なんだと考えております。
次回は検出した違反項目のうち、いくつかの対応例を書いていこうと思います！

AWS Security Hub使ってみた ～Part1：Security Hubを使い始めてみる編～

初めまして。Re:Qの直原と申します。
弊社では"Top Award Tour"という海外研修旅行が毎年企画されております。

▽▽▽▽▽ Top Performer Award Tour（通称：Top Award Tour）とは ▽▽▽▽▽

前年度、会社の業績に大きく貢献した社員に贈られる海外研修旅行です。
2012年のシンガポールに始まり、ハワイ、オーストラリア…と今年で5回目です。
若手でも選ばれる可能性が十分にあるため、選ばれることを目標の1つとして、みんな
毎年頑張っています。昨年度に対する褒賞で、旅行は今年度になりますので、
Top Award Tour 2017と表記しています。
△△△△△△△△△△△△△△△△△△△△△△△△△△△△△△△△△△△△△△△

そんなTop Award Tourに初参加、そして初めての海外での体験を少しだけご紹介させて頂きます。

気分爽快！マリンジェットツーリング

日本ではライセンスを取得しないと乗れないマリンジェットですが、ニューカレドニアでは、簡単なレクチャーを受けるだけで楽しむことができます。

そんなマリンジェットを乗り回して楽しもうぜっ！！ってツアー
それがこの「気分爽快！マリンジェットツーリング」になります。

しかし、ツアー当日の天気は曇り、波はかなりうねってました。。。

いい天気、いい波ではありませんでしたが、マリンジェット開始です！
まずはインストラクターの方から、操縦方法や気をつけることをレクチャーして頂きました。
40分ほどマリンジェットに慣れるめに自由に運転する時間をもらい慣れてきたところでツーリング開始です。

まずは、近場の無人島へ向かいました。
・・・そしたらなんと！晴れてるじゃありませんかっ！！ようやく南国感が出てきました。

この無人島で少し休憩した後、次の無人島へ向かい軽くシュノーケリングを楽しみました。
こちらの島も晴れてました！曇ってたのは本島だけのようです。

実は、マリンジェットの台数の関係上、1組だけ２人乗りで無人島まで来たのですが、帰りはインストラクターの方が「後ろに乗っていいよ！」と提案して下さったので、後ろに乗せてもらいました。

後は本島の近くを通って帰るだけなのですが、ここからが一番大変でした。。。
本島に近づくにつれて、どんどん波がうねってきたのです。波がうねっているせいで、マリンジェットでジャンプしたりなど、、、なかなかスリリングでした！海上を走ってる時間よりも滞空時間の方が長かったんじゃないかってくらいたくさんジャンプしましたw

無人島を２箇所も周ることができ、かなりの距離に加えて、爽快ってよりは豪快なツーリング。
インストラクターの方々も気さくで、とても楽しむことができました！！

CASINO!!

ニューカレドニアで宿泊したホテルから、徒歩2分くらいのところにカジノがあったので、ホテルでもらった１ドリンクと500FCP分のコインが貰えるチケットを片手に遊んできました！

初海外で初カジノ！！興奮せずにはいられません。

ヌメア市内には、カジノは２箇所あります。
そのうち１箇所はスロットしかないらしく、ホテル近くのカジノは1階がスロットコーナー、２階がカード等が遊べるようになってます。

「カジノといったら、ポーカーでしょ！」というイメージがありましたが、ホテル近くのカジノにはなぜかありませんでした。その代り？ブラック・ジャックとよく分からないゲーム、それとカードではありませんが、ルーレットがありました。

人生初のカジノは、まずはルーレットで！！

といっても、ルーレットのルールも正直あまり知りませんでした。
知っているのは、ピンポイントに数字に賭けるか、赤か黒のどちらかに賭けるかくらい・・ｗ　ルールを聞こうにも、英語が話せないので、聞けません。。。なので、赤黒だけで遊んでました！100FCPから賭けれたので、100FCP賭けて勝ったらそのまま200FCP賭けて負けたら100FCPから賭け直して。。。と繰り返していたら、1000FCPが2000FCPになりました！（最初に貰った500FCP分のコインは一瞬で消えましたw）

次に、今回の楽しみの1つだったブラック・ジャック！

ブラック・ジャックは500FCPから賭けれるテーブルと1000FCPから賭けられるテーブルがありました。ブラック・ジャックでは、勝てば２倍、一度も引かずに21を出したら2.5倍貰えるようでした。正直、ブラック・ジャックも「21を超えたら負け」くらいしかルールを知りませんでしたw　500FCPからしか賭けられなかったので、とりあえず500FCPから初めてみました。思ってたよりも勝ちが多かったので、「ここは思い切って勝負に...!」と思い1000FCPから賭けれるテーブルに付いてみました！すると、なんと+8000FCPになりました！（所謂ビギナーズ・ラックってやつでしょうか。今思えばここで止めておけば。。。）

ここから更に勝負に出た途端に負けが続き。。。結果16000FCPの負けで終わりました。
はい。とてもいい勉強をさせて頂きました。。。

最後に

マリンジェットにカジノ、それと今回は特に触れませんでしたが、現地で食べた料理やサイクリングなどなど。。。初めての海外は初めてのことばかりで、とても刺激的で楽しかったです！！カジノはとてもいい勉強になりました。。。

来年以降もTop Award Tourに選ばれることを1つの目標として、業務に励んでいこうと思います。

 

Top Award Tour 2017 ～New Caledonia Part2～