はじめに

皆さん、こんにちは。NTTデータTC事業部のYifanです。今回はセキュリティ資格の中でよく知られるCEH研修を受けたため、CEHに関する情報をまとめて発信していきたいと思います。

技術背景

• 学生時代
  • サイバーセキュリティ研究室に所属し、当初Androidのファイルシステムのフォレンジック研究をしました。
• 社会人
  • 新卒からセキュリティ部隊に配属され、CSIRTメンバとしてSOC/OSINT/DFIRなど現場でセキュリティ業務に6年間携わりました。（ただいま、セキュリティ人材育成を担当しております。）
  • ISC2 CISSP保有、GIAC GCFA保有、IPA 情報処理安全確保支援士合格

セキュリティを長年やっていたと言えるものの、Defense側に注力していました。今回はOffensive Security、いわゆる攻撃側の視点から何をどう見るべきかをよりよく把握するためCEHの研修を受講しました。

CEHとその資格について

CEH（Certified Ethical Hacker）＝認定ホワイトハッカーは、EC-Councilの認定資格の一つであり、国内外を問わず認知度が高く、国際的なセキュリティ資格だと考えられます。

• 米国国防総省が定めるサイバー人材育成に関する基準DoDM 8140.03の要件を満たす資格マトリックスにCEHが挙げられています。
  • DoD Manual 8140.03
    • https://dodcio.defense.gov/Portals/0/Documents/Library/DoDM-8140-03.pdf
  • DoD 8140 Qualification Matrices
    • https://public.cyber.mil/wid/dod8140/qualifications-matrices/
• 経済産業省の情報セキュリティサービス基準では「脆弱性診断サービスの提供に必要な専門性を満たす資格」としてCEHが挙げられています。
  • 情報セキュリティサービスにおける技術及び品質の確保に資する取組の例示
    • https://www.meti.go.jp/press/2022/03/20230330002/20230330002-2.pdf

また、2018年にEC-CouncilがCEH Practical（実技試験）を導入したことにより、CEH Masterという新たな認定資格が創設されました。つまり、CEH（筆記試験）＋CEH Practical（実技試験）の両方に合格すると、CEH Master認定にアップグレードすることができます。

CEH研修について

EC-Councilにより英語での公式トレーニングが提供されているため、オンラインの受講が可能です。日本国内では、GSX社などによりトレーニングが提供されています。オンラインのライブ配信以外に、オフサイトの研修にも申し込み可能です。

私は、CEHv12 Eliteという研修に参加しましたが、実は2024年9月にCEH v13がリリースされました。モジュール数は変わりませんが、攻撃フェーズにAI自動化技術の導入に関わる内容が新規追加されました。

• CEHv12 Proが終了のため、現時点でCEHv13 Eliteのみが受付中のようです。
  • GSX社：CEH（認定ホワイトハッカー）の資格獲得コース｜EC-Council公式トレーニング
    • https://www.gsx.co.jp/services/securitylearning/eccouncil/ceh.html
• Eliteの特徴は、半年のiLabs環境が使えることで、実技試験の練習にもなると考えています。

NTTデータはGSX社と提携しているため、自社の教育プログラムであるCybersecAcademy®︎において、GSX社が提供するSecuriSTやEC-Councilの研修を採用しております。
NTTデータ経由で申し込む場合、事前に受講日程を決める必要がなく、購入後半年以内に受講できるチケットを取得するため柔軟に受講日程を調整することが可能です。

CEHカリキュラムについて

CEHは、攻撃者目線に立って攻撃手法を理解した上でその対策も考えるのが特徴です。CEHのカリキュラムも基本的に攻撃手法のプロセスを踏まえて構成されている印象があります。

概ね侵入前（情報収集/スキャン）・侵入・侵入後（維持/痕跡消去）のプロセスに従って、それぞれの概念、手法、利用するハッキングツール、または防御策を学びます。

ハッキングの方法論をはじめ、端末・システムへの侵入を解説する内容以外、よく見られるSQLインジェクションのような攻撃手法の深掘りやクラウドなど業界トレンドに対する脅威も言及されています。

おまけ

1. バウチャーの発行タイミング

   研修を受講した後で、受講証明書の発行に伴いバウチャーが発行されるため、受講日から1年以内受験の縛りについて少し工夫ができるかもしれません。

2. CEH研修受講によるCPE達成

   皆さんご存知かと思いますが、多数の国際資格は資格維持のため、一定のCPE（Continuing Professional Education）が求められます。
   例：

   • CISSP：3年間有効、期間内に120CPEが必要
   • GCFA：4年間有効、期間内に36CPEが必要

   CEH研修ならCPEとして加算可能です。通常は1時間1CPEでカウントされることが多いですが、GIACの場合EC-Councilの研修を「ISO-17024認定の情報セキュリティ認定資格および関連トレーニング」としています。
   また、明確に「更新に必要な36CPEは当該カテゴリで充当が可能です」と記載されているため、CEHの受講証明書により、GIAC資格更新に必要な36CPEを満たしました。

   • 参考：GIAC認定資格の更新
     • https://www.sans-japan.jp/giac/renewal

まとめ

セキュリティ経験者の視点から見ると、業務でよくこだわる一箇所の解析より、全体的に攻撃プロセスを俯瞰して体系的に攻防に関する知識を学べる点で、有意義な研修だと考えております。その一方で、初心者に不向きと思われるかもしれませんが、そうではありません。研修自体は充実な説明があるため、基礎的なIT知識・ネットワーク知識を身につけている受講生なら問題なく理解できる内容だと思います。

ホワイトハッカー（さらにMaster）と呼ばれたら格好良さそうと思いますので、次回は実際の受験とその勉強法などをお話しできたら思います。

セキュリティに興味がある方々も、ぜひ楽しんでCEHを目指してみてください！