🦁

CEHv12合格受験記

2024/09/05に公開

はじめに

2024年9月、認定ホワイトハッカー試験であるCertified Ethical Hacker(CEH)のバージョン12を受験しました。

CEHについて

セキュリティの試験の中でも攻撃側の資格であるCEHは、4択125問の筆記試験です。
NSAやCIAが必須資格にしているという噂もあるくらい有名な資格ですが、Security Certification Roadmapを見る限りは比較的入門資格なのかな思っています。
https://pauljerimy.com/security-certification-roadmap/

詳細はこちらを確認ください。私はGSX経由の日本語版を選択し、Proを受講しました。
https://www.gsx.co.jp/services/securitylearning/eccouncil/ceh.html

受験のきっかけ

セキュリティ系の資格を全く持っていなかったので、会社の取得推奨資格のリストにある中で一番興味のあったCEHを選びました。

受講開始前の前提知識

IT系の資格はITパスポートを3年前に取得しただけで、他の資格はひとつも持っていません。
業務は、CEHの受験を始める1年前にセキュリティ企業に入社し、診断系をやっていますが、それまではゴリゴリの文系学部出身、ビジネス職でした。
徳丸本を読んで、TryHackMeを少しやった程度です。

必要時間

勉強時間の記録をつけていたんですがだいたい100時間かかっていました。
研修動画視聴が30時間、勉強が70時間でした。
CEH領域における知識はWeb周りとソーシャルエンジニアリング周りがちょっとわかるくらいで、あとは初だったので、初学者の参考になると思います。

研修

GSX社の研修は、8時間の講義が5日間あり、40時間で構成されていました。
私は録画で学習したため、ずっと2倍速で視聴していました。
正直40時間では教えきれない量があるので、講師の方も2割くらいの重要な部分を重点的に話され、あとはバンバン飛ばしていっていました。(重要な部分が出るかといわれると話はまた別)

最初は独学での一発試験で受けようと思っていましたが、英語力があまりないのと、2年以上の情報セキュリティ経験という実務経験の証明が必要で、私は満たしていなかったため、日本語での受験を決めました。
一応、動画を見ずに完了を押すことは可能だったので、研修費を払えばパスはできるようです。
試験は1200ドルで日本語の試験は60万円くらいのため、研修費は40万円以上となります。
セキュリティ資格は高い。

勉強

研修は上記の通り、あまり役立たなかったのと、これでは絶対に受からないと思ったので、かなり勉強しました。

勉強方法としては、2つです。
1つ目は、公式テキストの中でわからない単語や攻撃手法をスプレッドシートにまとめていきました。

そして、難しい問題(ツール名とか)は後回しにし、まずは攻撃手法と概念の暗記に努めました。
正解したらcorrectをTRUEにして、フィルターかけて減らしていく方法です。
ここまで勉強したのは高校生の時以来だったので、その時を思い出しながらの手法です。
ツールは結局時間がなくてほとんど覚えずに試験に臨みました。
これに60時間くらいを費やしています。ひたすらiPadを持って暗記していました。

2つ目は、有名な問題集である以下を2回解きました。
CEH Certified Ethical Hacker Practice Exams Fifth Edition
英語だったので、Google画像翻訳をしていきました。
最初に解いたときは暗記をスタートしていないタイミングだったので、ちんぷんかんぷんで50%弱の正解率でした。
1つ目の暗記をある程度やったあとに2回目を解きましたが、まったく出題範囲が異なっており、びっくりしました。が、1回目の記憶があったので、85%近く正解できました。
試験を受けた感想として、個人的にはこの問題集はやらなくてよいと思います。テキストの暗記だけで合格できます。
ただ、このテキストの初めに書いてあった「試験問題はCEHのテキストから全部出るわけではない」というのが公式によって発表されているというのは知っておいてよいと思います。実際にテキストに書いていない問題が出たかは怪しいですが。

あと、わからない問題を調べていたら、この問題集を丸パクリしていたQuizletを見つけました。Google翻訳がかからないので、英語ができる人向けです。
https://quizlet.com/user/zamiTron-09/sets

試験

暗記シートができたあたりで、再試験は24000円だし来週受けちゃおう、頑張れるでしょ、という謎モチベになり、ちょうど1週間後を指定してPearsonを予約しました。

当日は30分前について受付をすると、勉強させてもらえずすぐに試験を受けろと言われます。
何も持ち込めませんが、謎にマーカーとホワイトボード的な書き込みできるボードを渡されました。
(CEHで書き込みするものなんてないですが)

試験は4時間です。
フラグがつけられるようになっていたので、怪しい問題=覚えていない<<聞いたことのない回答のものにつけていって、合格ラインを越せそうかの判断軸にしました。
最初のほう、ツールの問題ばかり出題されて絶望していましたが、20問目を超えたあたりから風向きが変わり、イージーになっていきました。

1時間で125問を解き切り、復習で1問問題分読み落としで修正しました。復習大事。
結局フラグは30問くらいついていて、70%合格ラインなら37.5問は落とせるので行けるだろうと思い提出すると、「Your grade:Pass」と出ていたので、合格したんやろな、と思いました。

バージョン12の特徴として、新しい規格・技術について多く出ていたのがびっくりでした。ちゃんと勉強していたのでボーナス問題でしたが、テキストではほとんど触れられていないので、勉強しておくとよいかなと思います。

試験の振り返りとアドバイス

暗記のゴリ押しで合格した感は否めません。少しでも暗記する範囲が狭ければ落ちていたと思います。
わからなかった問題はほとんどツールだったので、そう考えると30問以上はツールの使い方やシーンの問題文があり、ツールの名前を選びなさい系が出ていたということになります。
私はツールを結果的に捨てましたが、アドバイスするなら「覚えたほうが良い」です。

また、問題集はやらなくて大丈夫です。
テキストをしっかり覚えれば、75%は取れると思います。ツールも覚えれば合格ラインは必ず超えると思うので、しっかり公式テキストを覚えましょう。

あと、日本語のテキストには解説文が載っていますが、僕はやっていません。スライド内で理解できない単語の解説を見たい時だけ使ったので、あまり気にせずスライドに集中しましょう。

あとがき

個人的には、CEHは筆記試験のため、セキュリティ界隈だとどうしても評価が低めになってしまっていると思います。
試験はツールや攻撃手法の名前を暗記するだけで正直退屈だし、攻撃スキルはあまり伸びないですが、個人的にコンテンツとしては非常に面白く、もっと評価されてよいと思います。攻撃ツールとして興味深いものもたくさんあったので、これから触っていこうと思います。
試験は微妙でしたが1時間で終わったし一発合格したので良しとします。

ここ2か月弱はCEHに集中していましたので、少し休息をとったらまた何か勉強していこうと思います。

気になることがあればTwitterのDMなどで質問していただいても問題ありません。
ここまで読んでいただきありがとうございました。これから受験する人の参考になれば幸いです。

Discussion