CEHの試験を受けてきたので勉強方法や感想などを忘れないうちにまとめようと思います。CEHに興味がある方、これから試験を受ける方の参考になればと思います。
はじめに
CEHとは?
ご存知の方もいると思いますが、CEHとは「Certified Ethical Hacker」の略で、倫理ハッカー(ホワイトハットハッカー)の認定資格のことです。
セキュリティ業界では有名な資格で、情報処理安全確保支援士やCISSP、OSCPなどと一緒に知られている印象です。
なんで受講したのか?
現在セキュリティ関連の仕事をしているというのと、仲のいい業界の先輩方が受けていたので、私も受けてみよう!と思ってチャレンジしてみました。
前提知識
CEHの講義を受講するにあたって、公式ページにもある通り、ある程度の事前知識が必要でした。全部をちゃんと網羅している状態で受ける必要は必ずしもないかなあと個人的には思いますが、やはり全くついていけないと困りますので、そこらへんの見極めは公式ページをご覧ください!ちなみに私はCCNAと支援士を持っているくらいのスペックで受講して来ました。LPICは受けたことがないけど基本的なコマンドくらいは知っているかな?という具合で、WireSharkやNmapも趣味で使うくらいなので全然詳しくありませんでしたが、試験勉強期間でカバーしました。
プログラミングはCとJavaを少しかじったことあるくらいです。
講義について
詳しくは公式ページにて、なのですが、とにかくモジュールが多い!5日間でこのボリューム...と覚悟はしていましたが当日はついていくのに必死でした。とはいえ、どの分野も最高に面白く、CEHを持っている人と感想を話しても、みなさん印象的だった分野、好きな分野がそれぞれでした。私は13/14/15のWeb周りが全く知識がなかったのでかなり勉強になりました(後述)。あとは、今の仕事で関わっている分野もありましたが、17のモバイルハッキングはあまり馴染みがなかったので新鮮で楽しかったです。
勉強方法
試験までのざっくりとした勉強内容についてまとめます。試験を受ける為のバウチャーの有効期限が、講義を受講してから1年とのことなのですが、私は丸1年くらいかけてゆっくり勉強しました!もっと短い期間で受ける人も多いと思いますが、私は以下のような勉強をしていました。
全体的なCEHの振り返り(1ヶ月)
講義を受けてから1ヶ月ほどかけて、当日の自分のメモ整理を含め、テキストの読み返しを行いました。その中で「Webなんもわからんやん。」と気づき絶望しました。
Webの勉強(7ヶ月程)
CEHはとにかくモジュールが多いので、自分の好き/得意な分野、馴染みのない/苦手な分野、など個人差があると思います。私の場合だと、特にWebに関する知識が全くなく苦戦しました。なので、まずはWebセキュリティの勉強をする前に、そもそものWebの仕組みの勉強に取り掛かりました。今思い返しても、本当にWebのことを何にもわかっていなかったなあと...。
実際に勉強した流れはこんな感じです。
- Webの基礎を2冊ほど
- 名著「リアルワールドHTTP」
- 簡単なWeb開発
- 名著「徳丸本」
今振り返ってもCEHの勉強というよりかはWebの勉強が結果的にほとんどでしたw
とはいえ、Webはセキュリティ領域での割合も高いと私は思っているので、これは1からしっかり勉強せねば!という気持ちで取り組みました。そして、CEHを受けるなら徳丸本をやらねばと意気込んだものの、Web開発の経験が全くなかったこともあり、徳丸本を開いて「うん、何もわからん」となったので、理論の勉強をした後は実践として簡単なWeb開発をしていきました。SQLの勉強会に参加したり、PHPを書いたり、完全に「CEHの勉強??」という状態でしたが、もともと資格を取ることよりはゆっくり勉強することが目的だったので、横道にそれながらもWebの勉強をしばらくしておりました。
そして、徳丸本を読み終えたところでWebの勉強は区切りをつけて、CEH全体の勉強に取り掛かりました。
CEHのテキスト振り返り(2ヶ月半)
しばらくCEHはほったらかしでWebの勉強をしていたので、テキストの読み返しをはじめました。ツールをいじったり、気になる単語はとことん調べたり、じっくり目に復習しました。
問題集(1ヶ月半)
CEHの勉強方法について調べると必ずと言って出てくるこちらのテキスト。
Walkerさんの「CEH Certified Ethical Hacker Practice Exams, Fourth Edition」です。
本当に良かったです。CEH受けない人にもぜひ読んでいただきたいくらいオススメです。読みながらクスッと笑える解説が大量にあるので、問題数が多かったにも関わらずちっとも飽きないし楽しかったです。英文も非常に読みやすいので、英語が苦手な方でも十分活用できると思います!
オンラインでの追加の問題も用意されていたので、私はそちらも全問解いてから試験に挑みました。何度も解き直し&調べる!を繰り返して、最終的には9割くらいしっかり理解して解ける状態になってから試験の予約をしました。
試験当日
公式ページにもアナウンスがある通り、オンラインでの受講となりました。ピアソンも対応しているとのことでしたが、私は自宅で受けました。
サポートに入ってくれる方は外人の方だったので、受験の際の注意事項などなど英語で確認していきます。合格した際にはめっちゃ褒めてくれた(突然話しかけられてビクッとしたw)ので、ピアソンにしなくてこっちでよかったなと思いました。
点数は99/125(79.2%)でした。解き終わった時も「うん、7割はいってるぞ」という感覚で提出しました。
感想
全体を通してのCEHの感想ですが、本当に受けてよかったです。それは資格を取得できたから、というのもありますが、セキュリティに関する幅広い分野を勉強できたからです。私は特にIoTやモバイルに関するセキュリティは全く馴染みがなかったので、とても勉強になりました。
そして何より、CEHの勉強を通して、もっと勉強したい分野が増えました。マルウェアも勉強したいし、ネットワークセキュリティもやりたいし、Webセキュリティももっとやりたい、OSINTも楽しいし....と資格以上に、自分の中のセキュリティの視野が広がるという嬉しいお土産を貰えたことも、CEHを受けて良かったことの1つです。
まとめといっては何ですが、CEHを通してセキュリティの広さ、深さ、面白さをたくさん学ばせてもらいました!これからもセキュリティの勉強、IT全般の勉強を引き続き頑張っていきたいなと思います。
最後まで読んでいただき、ありがとうございました!
どなたかの役に立てれば幸いです。