セキュリティ学習者の皆さん、こんにちは!
今回は、CEH(Certified Ethical Hacker:認定ホワイトハッカー)について紹介させていただきます。
セキュリティを勉強していく中で、「どんな資格が自分に合っているんだろう?」と悩まれている方も多いのではないでしょうか。
また、CEHについて興味はあるけど受験を迷われている方も多いと思います。
本記事では、グローバルで認められているCEHについて、取得するメリットや、勉強方法のステップについて解説いたします。
CEHとは?
CEHとは、EC-Counsil(電子商法取引コンサルタント国際評議会)による認定資格です。
本資格では、実際の攻撃者がどのようにハッキングするのかを体型系的に学ぶことが可能です。
試験では次のようなタイプの問題が出題されます。
- 過去に流行した攻撃手法
- 攻撃の流れ(偵察、エクスプロイト、権限昇格など)
- ホワイトハッカーとしての考え方
- 攻撃に対する防御策
攻撃者の理解を深めることは、効果的な防御策を考えることに凄く役立ちます。
そのため、ペネトレーションテスターはもちろん、次のような職種の方達におすすめです。
- セキュリティコンサルタント、セキュリティエンジニア
- SOC(セキュリティアナリスト)
- ネットワークエンジニア
- システムエンジニア
- プログラマー
特にコンサルティングなどを行っている方で、技術的なスキルに課題を感じている方にオススメです。
リスクや脅威を考える際に、実際の攻撃者が取りうる攻撃手法を知っていると、より具体的なアイディアを出すことができるようになります。
こういった知識やスキルを持っている方は非常に少ないので、同期より一歩抜きん出るには凄く良い資格です。
試験概要
CEHの試験概要は次のようになっています。
■ 問題数/出題形式
– 125問
– 選択式■ 制限時間
– 4時間■ 合格ライン
– 出題される問題の難易度により変化■ 費用(※試験のみ)
– $1,199■ 言語
– 英語、日本語(※日本語はGSXの公式トレーニングを受ける場合に利用可能)
■ 前提条件
– 情報セキュリティの実務経験2年 or 公式トレーニング受講
注意点としては、CEHを受けるには、情報セキュリティの実務経験2年か、後述する公式トレーニングを受ける必要があります。
また、試験範囲(CEHv11: Blueprint v4.0)は次のようになっています。
詳しくは下記を確認ください。
https://www.eccouncil.org/wp-content/uploads/2021/01/CEH-Exam-Blueprint-v4.0.pdf
難易度と前提スキルについて
セキュリティ認定資格を分野・難易度別に整理された上記の表では、入門者〜中級者レベルに位置付けられています。
また一般的にも、Comptia Security+の次に受けられる方が多いようです。
試験では攻撃ツールやプロトコルの詳しいことが聞かれるので、OSCPを勉強された方やオフェンシブセキュリティの実務経験がある方は比較的簡単に取得できると思います。
具体的に試験で問われる問題を知りたい方は、下記リンクがおすすめです。
CEHの練習問題を無料で確認することができます。
Free CEH V11 EXAM Footprinting practice test 2021
ただ、セキュリティ領域が全く初めてという方は、Comptia系の資格で基礎知識を勉強してから挑むか、公式トレーニングなどでKali Linuxや攻撃ツールを実際に触ってから目指すと良いと思います。
取得するメリット
CEHを取得するメリットとしては次のようなことが挙げられます。
- グローバルで認められており、取得者の平均年収が高い
- 攻撃者の考え方や攻撃手法を学べる
- CISSPで必要な実務経験が1年分免除される
グローバルで認められている資格
海外の政府では、サイバーセキュリティのキャリアを進める上で、まずはComptia Security+やCEHを取得することを推奨する例が複数あります。
また、CEH取得者は、企業からのニーズが高く、グローバル調査機関Global Knowledgeによる「最も稼ぐことができるIT資格Top15(2019年)」によると、$116,306と高収入を得ています。(ちなみに、CISSPは$116,900と僅差)
そのため、特にグローバル企業での就職を考えている人や国際水準のセキュリティ技術を身につけたい人にはおすすめの資格です。
攻撃者の考え方や攻撃手法が学べる
CEHでは、システム、ネットワーク、Web, ワイアレス、IoT、OTなどを含めて、広範囲に攻撃手法を学ぶことができます。
これによって、攻撃者の理解を深めることができ、攻撃者に対抗するため防御策を効率的に考えることができます。
セキュリティの実務では、システムや組織のリスクや脅威を考える際にはとても発想力やアイディア力が求められます。
この時に、攻撃手法の技術的な知識があることによって、自分の引き出しを増やすことができ、他の人にはない意見をいうことができます。
なので、コンサルティング業務の付加価値を高めたい人にも凄くおすすめです。
CISSPで求められる実務経験が1年免除される
CISSPの取得には、原則、フルタイムで5年以上の実務経験が求められていますが、CEHを取得している場合、1年間免除されます。
そのため、実務経験を短縮してCISSPを取得できるのもメリットですね。
https://www.isc2.org/Certifications/CISSP/experience-requirements
合格に向けた勉強ステップ
CEHでは大きく2つの勉強の始め方があります。
- グローバルセキュリティエキスパート株式会社(GSX)が代理店として提供している公式トレーニングの受講
- Udemyや書籍などを活用した独学
1に関しては凄くコストがかかり約50万円ほどします。
ただ、実際にハンズオンで攻撃手法を学べる演習形式となっているので余裕があれば受講するべきです。
以降では、独学での勉強ステップについて解説します。
STEP1: Udemyで基礎知識を習得
【情報セキュリティ】Ethical Hacking:ホワイトハッカー入門 
本講座は、書籍「ホワイトハッカー入門」で有名な阿部ひろきさんによるホワイトハッカー入門講座です。
まさにCEHで求められる試験範囲をカバーしているので、CEHに向けた勉強のファーストステップとしては最適です。
受講生からの評判も凄く良く、「CEHの勉強にとても良い」、「ハッキング手法を具体的にイメージしながら体系的に学ぶことができる」と評価されています。
STEP2: Pocket Prepで問題を解く
このアプリはCEH v11に対応しており、約1100問収録されています。
また、苦手領域の管理や日々の学習を記録する機能が優れており、モチベーションを維持して継続しやすいのがメリットです。
CEHでは広範な知識が求められるので、本アプリや後に紹介する書籍を併用し、知識の定着を図ることがオススメです。
STEP3: CEH Practice Testで模擬テストを解く
こちらもCEH v11に対応しており、全5回分の模擬テストが用意されています。
英語なのが辛い部分ですが、本問題集を1周し、まずは自分の弱い領域を分析し、2周目で間違った問題を中心に解き直すことで知識を蓄えていきます。
本書に慣れることで、当日の時間配分なども前もって予測が立てられ、安心して本番試験に望むことができます。
まとめ
まとめると、次のような人にCEHはおすすめです。
- 攻撃者の考え方や攻撃手法を学びたい人
- ペネトレーションテストの技術を座学で体系的に学びたい人
- グローバル企業での就職を考えている人
- 国際水準のセキュリティ技術を身につけたい人
グローバルではもちろん、日本でもCEHを採用条件にしたりするケースが増えつつあるので、この機会にぜひ取得を検討してみてください。
コメント