はじめに

はじめまして。レックT.Jです。 今回はIT資格の中でもちょっとだけ難易度の高い認定ホワイトハッカーの資格「CEH(Certified Ethical Hacker)」を受験してきましたので、合格までの過程をブログに書いていこうと思います。

ちなみに「受験してきました」と、ついこないだ受けて来たかのように書きましたが受験したのは2019年11月なので約3年前になります。
現在は2022年9月にv12がリリースされてますが、私が受験したのはv10になります。
当時とは異なる点もあるとは思いますが大まかな勉強方法とかは変わらないと思うので受験する方は参考にして頂ければと思います。

認定ホワイトハッカーの資格、CEH(Certified Ethical Hacker)とは？

合格体験記を書く前にまずは軽くCEHがどんな資格なのかを説明しておこうと思います。
恐らく知らない方からすると「ハッカーの資格(笑)」みたいなイメージだと思うので。

CEHはEC-Council International(電子商取引コンサルタント国際評議会)という情報セキュリティやe-ビジネスの個人スキルを認定する組織/評議会が提供してる国際的なセキュリティ資格となります。
知識・スキル・攻撃手法を組み合わせたホワイトハッキングスキルの習得を目的としており、ホワイトハッカーとしての「攻撃者視点」の判断力を習得することができます。

また、この資格は受験料さえ払えば誰でも受験できるものではなく、以下2通りの方法で受験資格を得る必要があります。

1.EC-Councilのディストリビューターが提供してる5日間のトレーニング(受験バウチャー込みで約60万円程度)を受講する
2.EC-Councilがトレーニングが不要と判断されるくらいの経験がある場合(ただし、日本語受験はできない可能性あり)

ので、基本的には1.のトレーニングを受ける一択なのかなと思います。
後ほど記載しますが、私が受けたトレーニングは1.とは少し違ったものとなってます。

私の受講/受験時の前提知識編

CEHを受験しようと考えてる方で特に気になるのが、この「受験前から持っていた知識」がどんなもんなのかだと思います。
私の場合はある程度は研修などを受講する前からセキュリティに関する知識などはもっており、具体的には以下となります。

・専門学校で基礎的なセキュリティ知識(CompTIA Security+レベル)や不正アクセスに関する実技授業を受けている
・趣味でCTFをやっていた
・業務でNWエンジニアとしてL4FW(レガシーFW)やUTM/NGFWの導入経験がある
・英語は全くできない

と、いったところになります。

研修編

私の場合もトレーニングを受講しましたが、厚生労働省の中小企業向けの人材開発支援助成金を利用しつつEC-Councilの公認トレーナーの方が月に1回のペースで合計6回開いてくれている研修を受講しました。

そのため、研修時は座学を多めに時間をとってもらい、次の研修までに生徒に渡される検証環境を使った実習に取り組む形をとってもらえたため、実習に好きなだけ時間を割くことができました。
また、趣味でCTFを始めとしたセキュリティ関連の自己学習もしていたので、座学も実習も比較的苦労はしませんでした。
（強いて苦労？というか新しい知見として面白く感じてたのがソーシャルエンジニアリングを利用した攻撃手法のところでした。今でもこの部分は面白かったと強く印象に残っています。）
ただし、一般的な受験ケースでは、5日間連続の研修となるうえ、CTFも未経験な方が多いと思われるため、かなりハードな内容になることが予想されます。。。Try Harderです。w

修行編(受験に向けた勉強)

CEH受験に向けた勉強はどんなことをしていたか？つまり修行編(?)ですね。

勉強方法は大きく以下2つあります。

1.問題集をひたすら(?)解くやり方
2.CEHの勉強会に参加する

問題集をひたすら(?)解くやり方

このやり方は正直嫌々やっていたので、かなりスローペースで勉強してましたw
問題集は「CEH v9: Certified Ethical Hacker Version 9 Practice Tests (English Edition)」をAmazonで購入し、1日10問ずつ解いて間違えた問題や分からないところ、答えに納得いかないところを徹底的に調べて学習を進めてました。
当時受験するのはv10でしたが、まだv10がリリースされたばかりで問題集も出ていなかったので、とりあえずv9で進めてました。
今はv11やv12なども出ているので、私が購入したのと同じシリーズの問題集のリンクを以下に貼っておきますので参考にしてもらえればと思います。
https://amzn.asia/d/bECRVf4

問題集自体は5回分(125問×5)程度あるので、私は4回分までは1日10問ずつ解いていき、残り1回分を前日に一気に解いて試験に臨みました。
勉強期間は(受験がめんどくさくて)バウチャーの利用期限ギリギリまで受験を伸ばしてたので10ヵ月ほどはかけてしまってたと思いますが、普通に勉強サボってる日の方が多いので、私の勉強方法なら「125問×4回÷10+1日」で最短51日ほどの期間で受験できたかもしれません。
また、私は 英語が全くできない ため、スマホ版のKindleで1問ずつ翻訳したい箇所を選択しながら勉強してましたので、英語が苦手な方でもやれる勉強方法(?)です！

CEHの勉強会に参加する

2つ目の勉強方法として、私は「CEHの勉強会」に参加してみました。 CEHの試験問題はかなりくせがあり、「この問の文章だと攻撃Aの可能性もあるし、攻撃Bの可能性も否定しきれない」みたいな問題が多く、なぜこの答えになってるのか自分を納得させるのに苦労した記憶があります。
この辺りを解決したく、「CEHの勉強会」に参加してみました。
IT系の勉強会に参加されたことがある方ならご存知の方も多いかもしれませんが、「connpass」で調べると定期的にCEHの勉強会を開いてくれているので、そこに参加してみるのをおススメします。
問題を解いていくうちに、各々不明点が多く出てくると思いますので、こういった勉強会に参加して思い切って勉強会で講師をしてくださる方に聞いてみるのも1つの手です。

受験編

そんなこんなで、かなり適当な勉強の仕方ですが、まぁ一応問題集を一通りやり切った状態で受験してみました。
CEHの資格試験は、
・制限時間：4時間
・問題数：125問
・問題方式：選択式
と、なっております。

私が実際に受験した際は問題数は1～3問ほど少なかったような記憶なので、人によって問題数も若干前後するのかもしれません。
また、試験時間は4時間ありますが、私は1時間半ほどで一通り解き終えたので、割と解答を見直す時間はあるように感じました。

そんな感じで受験した結果、合格ラインギリギリで合格でした！対ありです！

最後に

なんとか(?)無事にCEHの資格を取得することができましたがCEHホルダーの冒険はまだ終わりません。
CEHはセキュリティ系の活動を定期的に実施/報告し、3年間で120P稼がないと資格の更新ができないのです！
私は絶賛ポイント稼ぎで大変な状況ですが、もしこのブログをみて受験する方は、計画的なポイント獲得を本当に強くおススメします。。。

また、このブログの執筆時に知りましたが、今は「CEH Practical」という実技試験も建て付けられたようなので、機会があればそちらも受験してブログ化してみたいですが、まずは「CEHを更新する」という合格するよりもハードルが高いと思わされるような前代未聞の大きな壁がありますので、そちらの挑戦が終わり次第チャレンジし、またブログ化してみようと思います。