Zenn
💨

GIAC GCFA 合格体験記(300hで苦労した)

に公開
GIAC
gcfa
tech

約300時間かけてGCFAに合格しました。
EDRを使いこなすためのWindowsの知識を習得するためにチャレンジしましたが、フォレンジック未経験+Windowsの知識がなかったので、非常に困難な道のりでした。

結論

  • GCFAはフォレンジックアナリスト向けの資格です。
  • 試験はすべて英語ですが、TOEIC平均レベルの英語力でもテキストを周回すれば自然と試験に必要な英語力は身につきます。
  • 試験は持ち込み可能で、答えを見つけるためのインデックス作成が最重要です。
  • 試験ではVMを操作して回答する「Cyberlive」がありコマンドが打てることもチェックされます。
  • フォレンジック、Windowsは未経験でしたので、一通りテキストのインデックスを作ったあとに、模擬試験。模擬試験2回目でfailedになったため、講習の動画を見返し、まとめノートを作成して理解を深めて本番74%passedでした。
  • 勉強時間は291h(研修48h, 自己学習243h)。平日1.5h、休日3hを4ヶ月間。

1.GIAC GCFAとは

  • GIAC資格は、情報セキュリティ分野に特化した教育専門機関であるSANSが提供するグローバルなセキュリティ資格の総称です。分野ごとに細分化されており、今回私が受けた試験は、GCFAというフォレンジックによるインシデントレスポンスに特化したコースです。
    [GIAC Certified Forensic Analyst]
    (https://www.giac.org/certifications/certified-forensic-analyst-gcfa/)

  • コストは講習と試験1回分(模擬試験2回含む)のセットで約130万です。

  • 試験は海外の資格のためすべて英語です。試験時間は3時間(15分休憩あり)、問題数は82問、71%以上で合格です。複数選択問題の他に「Cyberlive」というVMを操作して回答する問題もあります。紙資料は持ち込み可能なためテキストにインデックスを貼る作業が非常に重要です。

  • 講習のテキストは100%程度英語。

  • 講習は6日間あり、GCFAは外国人講師(同時通訳あり)でした。セクションごとに座学の説明後、ラボでVMを操作して理解を深める流れになります。

2.GCFA攻略のポイント

2-1.インデックス・ラボの自作チートシートで回答スピードアップ

  • GIAC試験は資料持ち込み可です。そのため、問題を見てインデックスやチートシートを頼りに答えにたどり着くことが重要になります。

2-1-1.テキストのインデックス

  • テキストのインデックスは、テキストに貼り付ける「セクションごと+αのインデックス」とページごとに登場する「単語とページ数のインデックス」2種類作成いたしました。
  • 基本的に「単語とページ数のインデックス」を使うことが多いのですが、問題文を見て大まかに●●のセクションに答えがありそうという場合は、「セクションごと+αのインデックス」で探す方が早いので、両タイプのインデックスを作成すると良いです。
  • テキストの表紙に余白がたくさんあるので、ページ数とキーワードをメモすると便利です。

セクションごと+αのインデックス

  • テキストのセクションごとに以下のインデックスを貼っていきます。セクション名は細字マジックで記入すると視認性が高いです。ボールペンだと見えづらいと思います。
  • インデックスは1冊に最大15個貼り付けられるので、セクション以外にも重要なページがあれば追加で貼り付けます。
  • 購入品

単語とページ数のインデックス

  • テキストに登場した単語とページ数のインデックスです。テキストを読み進める中でキーワードを以下のようにExcelへ追記します。大半の問題は「単語とページ数のインデックス」から解くことができます。
  • 2回の模擬試験でアップデートを重ね最終的に約1000行となり、試験ではitem列でソートしたインデックスを用いました。
page item 説明
1.30 Confidentiality 機密性。CIAの1つ

(↑記載内容はサンプルです)

2-1-2.ラボの自作チートシート

  • ラボのテキストは分厚く情報を探すのに時間がかかると判断し、ラボの自作チートシートをExcelで作成いたしました。
  • 2回の模擬試験でアップデートを重ね最終的に約200行となり、試験ではitem列でソートしたチートシートを用いました。
  • 試験中は問題文を見てどのツールを利用するか判断し、item列で整理したチートシートを確認し問題を解いておりました。
section item 項目
1.1.3 vol.py xxx windows.cmdline

(↑記載内容はサンプルです)

2-2.ラボは手を動かすよりログの見方のポイントを押さえる

  • GCFAはコマンドを打つ機会は多くなく、ログが何を意味しているのかを把握すること最重要です。そのため、ラボのテキストを通し読みして、ログにこう書かれているので、◯◯という手法で攻撃されたと理解していきました。

2-3.英語はテキストを周回すると理解している

  • テキストは100%英語、試験の問題文・選択肢すべて英語なので難しいと思われがちですが、テキストを周回するとだいたい理解しているので、そこまで心配は不要です。また、テキストを周回すると読むスピードがかなり早くなりますので、自身の成長を実感できます。)
  • ただ、テキストの1周目は不明な単語が多いので非常に時間がかかります。1周目を乗り切れば後はスムーズに読み進められるかと思います。
  • 私は、テキストで不明な単語があればExcelに追記し、印刷したものを試験中にいつでも見れるようにしておりました。

2-4.未経験の分野だとかなり苦労します

  • 私は、フォレンジック・Windowsの業務経験は0でしたが、EDRの運用を担当することとなり、知識習得のためにGCFAに挑戦しましたが、未経験だと講習6日間受けても理解度は10%くらいで、絶望しました。
  • ただ、理解度が10%であっても、indexの作成やラボのテキストを周回しているとなんとなく理解していきます。模擬試験1回目で71%passedだったので余裕をかましていると、2回目で61%failedとなり、かなりあせりました。
  • 原因は全体的に理解度が低いことだったので、講習の動画を見返し(このタイミングで見返すと理解度がすごく上がります)、弱点はまとめノートに整理して理解を深めました。このまとめノートは試験当日も持参してとても役に立ちました。
  • GIACの試験は講習の4ヶ月以内にテストを受ける必要がありますが、私は、期限の4日前に合格となりかなりぎりぎりでした。未経験の分野のGIAC試験に挑戦するのはかなりリスクが高いです。ただ、未経験からかなり詳しくなるので、相当やる気があれば問題ないと思います。

3.筆者のスキル

  • セキュリティの業務経験は6年(企画、セキュリティ運用、教育などいろいろとやっております)
  • CISSP
  • GCIH
  • 情報処理安全確保支援士
  • AWS Security
  • TOEIC 675 (L390, R285, 2024.3受験)
    • GIAC試験に必要なReadingはTOEIC受験者平均レベルです。

4.スケジュール

4-1.テキスト復習(1周目)week1-4

  • テキストの英語部分を読み込み
    • 否定語(but,however,never,not)や重要語(important)含む文は重要なのでアンダーライン。
    • 不明な英単語は蛍光ペンでマーク。
    • テストに出そうな単語(コマンドも必ず含める)を蛍光ペンでマーク。

4-2.ラボ復習(1周目)week5-8

  • ラボのテキストをmarkdown形式に要約。

4-3.テキスト復習(2周目)week9-11

  • テキストの英語部分を読み込み
    • 1冊毎に章のインデックスを英語で作る。目次以外にも重要項目あればインデックス
    • インデックスは1冊15個までOK。インデックスは超丈夫、無印の細マジックが良い。
    • 蛍光の英単語を調べて意味をテキストに追記。
    • 重要な英単語はインデックスに追記。登場した章(1.27)、英単語、メモの並び
    • 不明な英単語はExcelにメモ

4-4.ラボ復習(2周目)week12-13

  • markdown形式に要約したものを再度復習。適宜indexアップデート。

4-5.模擬試験1回目 71%

  • テキストの理解が甘くMCQ(4択問題)がかなり難しく感じた。
  • 「Cyberlive」は全問正解。本当にこんなに簡単なのか?と思いました。(本番は難しかったです。。)
  • 理想の時間配分は以下。
     110min 複数選択問題
     15min 休憩
     70min cyberlive

4-6.模擬試験1回目後の復習 week14

  • 試験に登場した理解の浅い分野をテキスト、ラボで復習。適宜indexアップデート。

4-7.模擬試験2回目 61%

  • 1回目と出題範囲がかなり違っており、MCQ誤答多め。テキストの理解が浅いと痛感。
  • 「Cyberlive」は2問ミス。どちらもケアレスミス。。

4-8.模擬試験2回目後の復習 week15-18

  • テキスト3周目

    • 講義動画を見て理解し直し。この段階見返すと講義がとてもわかりやすいと感動。
    • index追加
    • 弱い分野はまとめノートに追記

  • ラボ3周目

    • markdown形式に要約したものを再度復習。適宜indexアップデート。

4-9.本試験 74%

  • 新宿のテストセンターで受験。平日は直前でも予約しやすいですが、土日なら1週間先でないと空きがなかったです。早めの予約がおすすめです。
  • MCQはまとめノートのお陰でわかる問題が多かったです。
  • ポスターWindows Forensic AnalysisとHunt Evilも役に立ちました。
  • 「Cyberlive」は模擬試験に比べてとても難しかったです。ラボテキストにあった?という問題もあり、かなり焦りました。おそらく2問ミスです。
  • 複数選択問題を慎重に解いたことで時間配分は理想的ではなかったです。ぎりぎりまで「Cyberlive」に取り組んでおりました。
    120min 複数選択問題
    15min 休憩
    60min cyberlive

Discussion