SANS GCIHを受験する人へ

SANS GCIHを受験する人へ

 管理人は2018年6月下旬に東京で開催されたSANS 504 – Hacker Tools, Techniques, Exploits and Incident Handlingのトレーニングを受講し、その約4ヶ月後の11月上旬に対応するGIAC試験であるGIAC Certified Incident Handler = GCIHを受験し、無事合格することができました。
 トレーニングの内容もそうですが試験もそれなりにハードで、万一落ちると再受験に$769 = 約8.8万円 (1$ = ¥115) と、かなり覚悟が必要な金額を支払う必要があるため、是が非でも一発で合格したいところです。その反面、受験者が少ないためか情報もほとんどないので、自分が受験した時の経験で合格に役立ちそうな情報を、公開しても問題がない範囲でまとめておきたいと思います。

トレーニング

 このページを見ている人の大部分はSANSのトレーニングも受けると思います。SANSといえどトレーニングはトレーニングなのですが、あまり知られていないことを一点だけ書いておきます (試験には直接関係ありません)。
 SANSトレーニングの最終日にあるCTF形式のハンズオンでは、4人程度でチームを組んで取り組みます。これでもっともいい成績を収めると、チームに対してCoinが授与されます。このCoinの正式名称は”Pen Testing Coins”で、SANSのPenetration Test系のコースで授与されるCoinです (その他にもForensic系のコースの”Lethal Forensicator Coins”、DFIR = Digital Forensic and Incident Response系のコースの”DFIR Coin”などがあるようです) 。

 現時点では以下がPen Test Coinsの授与対象となっています (SANS Pen Testing Coinsより引用) 。

CourseCoin
SEC504: Hacker Tools, Techniques, Exploits and Incident Handling Super Heroes Coin
SEC542: Web App Penetration Testing and Ethical Hacking Spider and Fly Coin
SEC560: Network Penetration Testing and Ethical Hacking Ninja Coin
SEC575: Mobile Device Security and Ethical Hacking Reptile Monster Movie Coin (the monster is called Gamera and first appeared in the 1956 Japanese movie of the same name)
SEC617: Wireless Ethical Hacking, Penetration Testing, and Defence Reptile Monster Movie Coin (The monster is Guiron, from 1969’s Gamera vs Guiron)
SEC642: Advanced Web App Penetrations Testing and Ethical Hacking Samurai and Dragon Coin
SEC660: Advance Penetration Testing, Exploit Writing, and Ethical Hacking Conan the Barbarian Coin

NetWars: The World Coin

 このCoinにはすべての集めるとわかる暗号が隠されており、その暗号を解くと”Secret prize”がもらえるとのことですが、金銭的にも難易度的にもとんでもないことは想像に難くありません。これまでに取得した人がいるかどうかは定かではありませんが、

 さて、どうしてもCoinが欲しければCTFで優勝するしかないわけですが (コースに大きく貢献した場合に講師の判断で授与されるなど、別ルートもあるようですがごく稀でしょう) 、チーム戦なので誰と組むかが非常に重要になります。私の時は最終日前日のトレーニング終了の時点で近い席の人でチームを組んだので、たとえば”できそうな”人の隣に最終日前日に座っていれば、Coinを獲れる確率は上がるでしょう。

試験の準備

 試験の準備として、おそらく授業中にテキストに付箋などでインデックスをつけることを講師に勧められるはずです。順番が前後しますが、実際の試験でもっとも重要なことは、”調べようとしている情報が紙媒体のどこに書かれているかを迅速に特定すること”なので、この説明は理にかなっています (細かいコマンドのオプションなど覚えていられない)。しかし、現在利用されているテキストの片隅に、完璧なインデックスに含まれているので、手動で頑張ってやる必要はまったくないのです
 初日に大量のテキストを渡されますが、その中で一番薄い一冊、意図的かどうかはわかりませんが授業中はほとんど触れられない”SEC504.6: Hacker Tools Workshop”というタイトルの冊子を開いてみてください。そこに少なくとも受講生が手動で付けることができるレベルを超えたインデックスがあります。

 この存在を知ったことで、私は合格に大きく近づきました。このインデックスの存在を知らずに受けた模擬試験は、本番10日前に受けた1回目が71%、本番3日前に受けた2回目が69%と、これはまずいと思う数字でしたが、2回目の終了後、ふと目に入ったこの冊子を開いてその存在を知り、その3日後に本番に臨んだところ、合格ラインを大幅に上回る得点率で合格できたので、その効果は絶大だったといえるでしょう。

 ちなみ2年前にGCIHを取得した人の話を聞いたところ、その人は自分でインデックスづけをしたと話していました。当時のテキストを見せてもらいましたが、なんとHacker Tools Workshopの冊子にインデックスはありませんでした。この2年間で追加されたのでしょうが、この恩恵はフルに活かしましょう!

持ち込む参考資料の準備

 試験に研修のテキストを持ち込むことができるのは講師からも話があると思いますが、SANSの公式ページで試験のポリシーが公開されています。この中の”You may bring an armful of hardcopy books and notes into the testing room. However, hardcopy reference materials having the appearance of practice test and/or exam questions and answers are strictly prohibited.“が大事な部分で、紙媒体で小脇に抱えることができる程度の分量であれば、テキスト以外にも何を持ち込んでもいいのです。Webで受験できる模擬試験やそれに類する過去問の打ち出しは駄目と明言されていますが、それ以外は基本的に何でもOKです。
 実際、私はSANSが公開している各種文書を打ち出して持ち込みました。試験開始前に会場の担当者が持ち込もうとする文書をチェックしますが、何も言われませんでした (過去問に類するものを持ち込もうとしたらここで止められるのでしょう)。私が持ち込んだものをいくつか紹介します。

Incident Handler’s Handbook
 これは絶対に持ち込むべきです。インシデントハンドリングにおける各フェーズの概要やタスクが簡潔にまとめられており、試験で役に立つこと請け合いです。もちろん研修テキストにも書かれているのですが、複数冊に跨っており検索性は良好とはいえません。簡単にまとまっているこの資料はとても貴重です。
 もしあなたが英語があまり得意でないのならば、事前にじっくり時間をかけて自分で日本語訳を作ってもいいくらいです。その過程で概要は頭に入るでしょうし、本番で最短時間で探したい情報を見つけ出すのにきっと役立つでしょう。

SANS Cheat Sheet: Netcat
 実際に模擬試験を受けるとわかりますが、トレーニングで扱った各種コマンドの使い方を問われる問題が一定数出題されます。問題文も平易ですし、然るべき準備をしておけば確実に正答できる問題なので、確実に取りたいところです。
 様々な情報源がありますが、個人手金はSANSの試験なのでSANSが公開しているCheat Sheetを利用するのがベストだと思います。NMAPなどその他のCheat Sheetもあるので、自分で必要と思うものを印刷して持ち込みましょう。

Plundering Windows Account Info via **Authenticated** SMB Sessions
 日常的には利用しないけれども試験では重要なコマンドの一つに、rpcclientがあります。これはcheat sheetが存在しないのですが、上記のページがよくまとまっているので、こちらも打ち出して熟読した上で持ち込むといいでしょう。その他の授業で扱う様々なコマンドについても、可能な限りCheat sheetに類するもの、なければコマンドヘルプの打ち出しを持ち込むといいでしょう。

試験端末の前に座ったら

 試験端末の前に座ったら、あとは4時間という制限時間内に問題を解くだけです。心構えという意味を含めて、いくつか注意点をまとめておきます。

 模擬試験がそうだったと思いますが、長丁場なので途中で15分の休憩を取ることができます。休憩を取る場合は、Skipした問題をすべて回答済みの状態にする必要があるため、Skipした問題がいくつもある場合はそれを消化する時間も考えておく必要があります。試験官から案内があるかもしれませんが、私は休憩のカウントダウンが始まってから試験官を呼ぶボタンを押して、退席してトイレに行きました。試験官の監視の下ではありましたが、事前に買ってロッカーに入れておいた飲み物を口にすることもできました。

 一度解答を入力して次に進んだ問題については、再度やり直す手段はありません。少しでも迷ったり手間がかかりそうだと思った問題は、潔くSkipして後回しにしましょう。最悪の事態は時間切れになって解けるはずの問題を解けなくなることです。後に続く問題を解いている間に、運が良ければSkipした問題の手がかりや解答に出会うかもしれません。

試験の結果

 合格したかどうかはその場でわかります。GIAC試験については試験会場では特に合格証に類するものは発行しないということなので、そのまま帰ることになります。翌日には、試験の申し込みの際に登録したメールアドレスに合格通知が届いていて、その後の手続きが案内されるはずです。

 また、もしあなたが85%以上の得点率で合格したら、SANSの講師になるための入口となるInstructor Development programへの参加の案内が同じくメールで届きます。第三者に講師としての経験やスキルを証明してもらう必要があるなど、応募の項目を埋めるだけでもハードルは高そうです。おそらくですが英語で講義することが求められるでしょうし (日本人の講師はいるのでしょうか?)。
 自分の職場で講師をやるというMentor: @Workというプログラムもあるようです。管理人は87%で合格しましたが、応募するならこちらかなぁと思っています。もっとも、北米以外ではほとんど開催予定がないようですが….

 もしあなたが90%以上の得点率で合格したら、上記に加えてGIAC Advisory Boardへの招待も受けるはずです。こちらはGIAC自体の改善に関わる活動を行うようです。管理人は参加資格を得られませんでしたが、別の試験に合格した際に招待を受けた人は辞退した (招待に反応しなかった) そうです。確かにこちらもハードル高そうですよね…

最後に

 SANSのGIAC試験、およびそれに対応するSANSのトレーニングは非常に高価ですが、特にテクニカルスキルを客観的に証明するための物差しとして、他に類する資格がないのも事実です。GIAC試験は特に米国でその有用性は広く認められており、現時点で知名度はいま一つの日本でも、特に実技の能力を示す高度なセキュリティ資格として、今後評価されてゆくと管理人は考えています。

 管理人が今回取得したGCIHは、資格ロードマップではIntermediate = 中級レベルに位置するものです。職場の同僚で何人かAdvancedな試験に合格している人がいますが、合格者はいずれも傍目から見ても技術に秀でたセキュリティエンジニアばかりなので、管理人もさらに上位の資格を目指したいなぁと思っています。会社が試験付きのトレーニングに行かせてくれれば…ですが。

コメントする