fiscsecの日記

https://twitter.com/fiscsec

GCIH試験に合格しました

半年ぶりの更新になりますが、GIAC Certified Incident Handler (GCIH)に合格しました。
認定証も届いてやっと振り返る気になったので、例によって酔っ払って散らかっていますが少しでも参考になる方がいればと思い記事を書きます。

  • GIAC GCIHとSEC504概要

いきなり手抜きですが、下記が詳しいです。
・GIAC概要
https://www.sans-japan.jp/giac/index

・GIAC Certified Incident Handler (GCIH)
https://www.giac.org/certification/certified-incident-handler-gcih

また、受験者の殆どは下記のSANSのトレーニングである、「SEC504(Hacker Tools, Techniques, Exploits and Incident Handling)」を受講済みだと思われます。
受講しなくてもGCIHを受験できるが、試験代がSEC504受講者よりも倍くらい高かったような?
レーニングではテキストが7冊ほど配られますが、試験問題は基本的にその中の要素から出ます。100%その中からしか出ないかというとどうかわかりませんが、少なくともテキストをマスターすれば合格ラインに乗ると思います。

・Hacker Tools, Techniques, Exploits and Incident Handling
https://www.sans-japan.jp/sans_japan_live_online_2020/sec504

Incident Handlerと名がつくとおり、セキュリティインシデント発生時の対応を準備、検知から対応終了後の教訓まで、プロセスごとに身に着けられるものです。
また、SANS的にはペネトレーションテストに分類されたテスト・コースですので、実際に現場でよく使うツールについても語られているのだと思います(ペネトレーションテスト経験なし)
講師はザック先生。実際の経験とともにユーモアを交えつつ日本語堪能で6日間、非常に楽しく受講できました。ハンズオンが多いですが、コマンドラインに抵抗がなければ問題ないはずです。
資格の評価としてはどうなのでしょう?CISSPほどの知名度はありませんが、分かっている会社であればそれなりに評価すると思います。より評価、難易度の高いものがGPEN、GCFA、GREM、GWAPTあたりでしょうか。あとはOSCPなど。
redditにセキュリティ資格の難易度表がありましたが、CISSPとOSCPは高めで、GCIHは中くらいの難易度です。

https://i.redd.it/yo33xlys53141.png

  • 受験のきっかけ

会社命令です。試験問題が苦手な英語でしたので気が進みませんでしたが…。トレーニング代金、受験料ともに会社が出してくれたものの、万が一不合格だった場合は自費で再受験しなければならない($799!!)ため、必死になりました。

 

  • 勉強時間

レーニングの受講後、基本的に4ヶ月以内に試験を受ける必要があります。(延長費用を払えば延長可)カウントはしていませんが、前述の通り必死でしたので一日平均2~3時間は勉強していたと思います。
これも個人のバックグラウンドに大きく依存するかと思います。ペネトレーションテストの経験があればそんなに必要ではないかもしれません。

 

  • 勉強素材

私が使ったのはトレーニングで配られたテキストのみです。というか受験当時、試験に特化したものはそれくらいしかありませんでした。2020年8月以降に市販のものが出るようですが、無論英語で書かれています。(あるに越したことはないと思いますが、トレーニングのテキストだけでも大丈夫だと思います)
「GCIH」で検索すると怪しい有料の問題集が山程出てきますが、信頼できるものではありません。サンプル問題を見ても問題が古すぎるし(WinXPが出てくることも)、解説もなければ解答が合っている保証もなく、実際の試験にはない複数の答えを選ばせるような問題もありますので惑わされないように。
レーニング前に予習したい方は、ハッキングラボやインシデントレスポンス第3版、サイバーセキュリティテスト完全ガイドが参考になると思います。

 

  • 試験の特徴

・問題文、選択肢ともに全て英語
・紙媒体持ち込み可(自作の資料や英和辞書。模擬試験のプリントアウトはNG)
・4時間で106問に解答。
CISSPCISAと違い、一度解答したら戻れない。スキップして後から解答は15問程度可能だったと覚えています。
・試験時間にカウントされない休憩が15分程度、1度だけ取得可能。ただしスキップした問題は解答しておく必要がある。試験時間にカウントされる休憩はいつでも取れる模様。(私は取っていませんが、試験監督に聞く限りそのようでした)
・ラボ問題(Cyberlive Testing)が10問程度(ブラウザ内で実際にGUICUIの操作をする必要がある)
・4択。ラボ問題はそれ以上から一つ選択
・72%以上の得点率で合格
CISSPCISAと同じくその場で合格判定

 

  • 私の勉強方法

3種類ほど実践しました。

  1. オリジナルインデックス作成
    国内、海外問わず皆さんが実践されていると思います。
    テキスト内から重要語句を拾いまくり、インデックスを作成、テキストにタグを付けるなどしました。giac pancakesなどのワードで検索すると、どんな感じかわかります。問題を解いている際に、わからない単語に出会ったらすぐに7冊のテキスト調べられるよう工夫しました。ラボ問題に備え、重要なコマンドラインについてもまとめました。自分がやりやすいように作ると良いかと思います。このインデックス作成も勉強のうちになります。
    6冊目のテキストにもインデックスがある場合がありますが、正直使いにくかったです。(一つの単語に複数のページが割り当てられているなど)

  2. テキストを読みまくる
    とにかくテキストを読みまくりました。10周近く読んだと思います。テキストは上半分がパワポ資料、下半分が英語での解説になりますが、スマホのAR翻訳も活用するなど英語部分についてもしっかり吸収しました。

  3. ラボ問題で手を動かす
    去年くらいから4択問題だけでなく、ブラウザ上の仮想OSで実際に操作が必要なCyberliveという問題が新設されました。nmapやnetcat、John the RipperWindowsLinuxの標準コマンドを駆使してお題を解く必要があります。その対策のためにもラボ問題をテキストに従って、自宅でも仮想環境を使って手を動かしました。頻出、重要コマンドはプリントして試験に持っていくのも良いと思います。

  • 模擬試験

試験に申し込むと、2回の模擬試験を自宅PCから受験できます。形式は本番同様です。追加費用を支払えば2回以上受験できますが、私はやりませんでした。
もったいぶらずに一通りテキスト、ラボ問題を復習したら受験すればよいかと思います。それで今後の対策の立て方も変わってくると思いますので。
私はトレーニング終了後、2ヶ月してやっと受験しましたが、もっと早く受験しておけばよかったと思いました。
個人の感想ですが、本番の問題は模擬試験よりも難しかったように思います。
模擬試験のスコアは、勉強開始から2ヶ月後の1回目で64%、3ヶ月後の2回めで71%といずれも合格ラインに達せず、焦りました。しかし本番では88%と、90%以上のAdvisory Board招待には届かないものの合格ラインを余裕で超えるスコアでした。

 

  • 試験当日

試験会場はPearson VUEになります。私は新宿会場で受験しました。休憩中は食事もできますので、チョコやラムネ、栄養ドリンクなどを持ち込みました。
試験問題については例によって具体的なものは書けませんが、個人的には前述の通り、模擬試験より難しかったような気がします(スコアは模擬試験より良かったですが)。
逐一、自作のインデックスを用いテキストを調べていたので、時間は足りなかったと言って良いです。何より英語が得意ではない私にとってはやっぱり英語がきつい。(受験者は口々にどちらかといえば英語の試験、と言っています)英和辞書が大活躍しました。
英語が得意な方なら難易度は一つ落ちると思います。CISSPのように捻った問題は少なく、ストレートな問題が多かったように思います。
3時間経過したくらいでやっと休憩、糖分を補給し、15分待たずに再開。
ラボ問題も緊張から手が震えtypoしまくり散々な感じで手応えらしい手応えもなく、ああ10万円自腹かと思い、タイムリミット間近で解答終了。
合格していただけでなく目を疑うハイスコアで合格していました。

 

  • 合格後

試験終了と同時に登録したメールアドレスにも合格通知が届いていました。CISSPCISAと違い、認定に審査はいりませんので認定書の注文のみで手続き終了。数週間後にやっと認定書が届きました。思いの外ペラペラな認定証…。

 

  • 振り返りと今後

問題集がないので、勉強しにくいことこの上ありませんでした。一方、実際にコマンドを叩いて勉強できたので受験してよかったなと。インシデント発生時も自身を持って対応できそうです。バッファオーバーフロールートキットは難しかった…。
そして圧倒的に足りない英語力。英語の試験なんて二度と受けたくないと思ったくらい。現在はCISM勉強中でこれはこれでGCIHと別の脳みそを使っていますが、CISM合格後は今度こそセキュリティ資格の勉強は打ち止めにし、英語の勉強に本腰を入れたい次第。
(GCFAやGWAPTなど気になる資格もありますが)

以上です。加筆修正はあるかもしれません。