2020年の12月にSANSのSEC504を受講し、2021年3月末にGCIHのテストに合格した体験記です。

普段はエンドユーザ企業のSOCにて、NIST SP800-61やPICERLに謳われるインシデント対応ライフサイクルのうち、PreperationやIdentificationにあたる業務に従事していることが多いです。CISSP、CISAホルダーですが、ペンテストやフォレンジックの経験はほとんどありません。

GCIHとはセキュリティの資格であり、提供しているSANSの分類によるとOffensive Operationsの入り口(intermediate)にあたります。私自身、資格としてCISSP/CISA持ちではあるものの、今まで自分に欠けていたツール類の知識、サイバー攻撃のTTPsを学ぶ機会と思い、会社の同僚の勧めもあって2020年12月にSEC504を受講しました。

試験も同時にバウチャーを買うと安いので会社におねだり。受講から試験を受ける期間の4ヶ月をまるまる使って、3月末に合格。エンドースメントや認定にかかる時間はないので、その瞬間からGCIHと名乗ることができる模様。名刺やサイトに掲載できるロゴはこちらからダウンロードが可能です(悪用は厳禁)。

試験の準備

上述の通り、トレーニングを受講したのは12月初旬でしたが、紆余曲折があり学習に着手できたのが1月第3週。それ以来、トレーニングの録画を見直しながらの復習に5週間(ほぼ、１日分を１週間かけていったイメージ)、テキストへのインデックス貼りと目次の作成に２週間(２回見直し含む)、その週末に１度目の模擬試験(81%)、わからなかったところを見直しつつ次の週末に２度目の模擬試験(84%)を受けました。

学習に使ったのは、SEC504で使ったテキストのみ。先人の教えに従い、読み込みの中でインデックス貼りを行っていきました。全体の目次は６日目の資料にもあるのですが、中身は足りないので、模擬試験で引っかかったところを追記するとともに、スプレッドシートを使った目次も実試験では役に立ちました。

実際のインデックスの様子。章立てと項目に加えて、各テキストの表と裏に内容を書いていきます。

下のようなポストイットを大量に(貼り直しも考慮して)確保してから始めたほうがいいです。項目の場所を色で覚えたりしますので、途中で変わると混乱します。

本番試験に向けて

テキストのレビューとインデックス貼りを終えた時点で本番試験の予約。家では集中できるはずないのはわかっているので、PearsonVUEの渋谷テストセンターを10:00から予約。近くの246号沿いにセブンイレブンがあるので、飲食物は手ぶらで行ってもなんとかなりそうです。

本番試験

本番試験は朝10時から4時間、模擬試験も2回ともまるまる4時間を要したことから、休憩も取らずに一気に問題を解いて、最後わからないところはエイヤも許容しつつ3:50くらいで終了。模擬試験と同じくアンケートに答えていったらPassedの文字が出て試験は終わりました。

模擬試験ではほとんど出番がなかったお手製インデックス、本番では大活躍でした！

模擬試験の結果から、本番2週間前の時点でちょっと余裕かなと思っていたのですが、次の週末に受けた本番は78%でした。模擬試験、本番試験ともにパートごとの出来不出来をあとから見ることができるのですが、CyberLiveと呼ばれる、実際にCUIやGUIを操作するラボ形式の設問で応用っぽいのがほぼ全滅(苦笑)でした。振り返ってみると、模擬試験はほぼ100％テキストから出題、本番は少し応用編が混じっていた印象。また、講習の中で何度も講師の方が言葉にされていた概念や、何度も出てくるツールの使い方は重要でした。合格はしたものの、課題をもつまびやかにする受験体験でした。

その他参考書

もともとペンテストやツール使用の経験があれば、問題もわかりやすいのでそれほど難易度の高い試験ではないと思います。下の書籍類に書かれていることに普段から触れてけば、もっと高得点を目指せるのではないでしょうか。

Wrap Up

・SANSの講習(SEC504)は受講した。
・講習の中で何度も出てきた概念やツールは重要、よく理解しておく。
・焦った状況でページをめくる状況を想定して、インデックスや目次を作る。追加のチートシートなどはあまり役に立たない。
・合格点に届くだけならテキストだけで十分。それ以上を目指すなら、テキストの範囲を超えてツールの習熟が必要。