ここ4ヶ月ぐらい、裏で取り組んでいたセキュリティ資格の取得が
ようやく実を結んだのでここにその記録をしておきます。
SANS Instituteが提供するGIAC Penetration Tester Certification(以下、GPEN)
という資格を取ったので、その一部始終や感じたことを2部構成でまとめていきます。
2023~2024年の話なので、時が経つと事情も変わってくると思いますがあしからず。
・どんな資格?
ペネトレーションテストと呼ばれる
システムの内部侵入とか機密情報の窃取ができるかどうかを確認するテストに関する資格。
ペネトレーションテストの詳細や脆弱性診断との違いなどは
以下の資料に説明を譲ります。
・なぜこの資格を取ろうと思ったか
一言でいうと仕事で必要になりそうだったから・・・
なのですが、昨年デジタル庁がこんな資料を公表したのが大きなきっかけの一つとなります。
要するにこの資格を持っているとセキュリティ診断をする事業者を優遇しますよ、と。
・お値段
1週間のトレーニング(内容は後述)とOnDemandと呼ばれるトレーニング後の動画視聴、
受験料全て含めておよそ130万。
いろいろと割引を効かせてこの値段なのですが、
昨今の円安、アメリカの物価高の影響をモロに受けてます。
4年前は100万を切っていたとか。
・トレーニング
1週間(5日の研修+1日のゲーム大会)のトレーニング内容は以下のページに書いてあるとおり。
トレーニング前に自宅に分厚い本合計7冊が郵送されてきます。
オンラインの講義して、ハンズオンの演習という繰り返し。
内容が盛り沢山なのでかなりのハイペースで進みます。
個人的には事前予習必須。
一応基本的なWindows, Linuxコマンドの説明からしてくれますが、
ある程度習熟している人でないと理解や演習は困難と思われます。
また、講師はアメリカ人の方で日本語同時通訳が入っていますが、
通訳が入っているから英語は苦手な人でも大丈夫と思わないほうが良いです。
「オブスフィケーションされたエクスプロイトをエグゼキューションして・・・」
といった日本語訳が頻繁にあったり、
一応通訳の方も予習をされているようですが、
訳し漏れや意味が通らない訳になっていることが散見されたので、
英語字幕を見たり、テキストだけで内容を理解できるようにならないとダメでしょう。
そもそもテキストや試験はすべて英語なので、
英語がある程度できる人でないとそもそもこの試験に合格することは無理です。
トレーニングの最終日6日目は講義ではなくCTFと呼ばれるゲーム大会の日。
その場で3~4人のチームを即席で組んで、
サーバに隠されたフラグを取って、得点が一番高いチームにコインが授与されるというもの。
個人的にはこのコインが欲しくて頑張ってみたのですが、トップならず。
後半の問題が普通に分からなかったのと、
即席で組んだチームなので情報共有がいまいちできず、
さらに途中でシステム不具合によってサーバにアクセスできない時間が発生して、
そこでタイムロスしました。
答えはその場では教えてくれないのですが、
オプションであるOnDemandを申し込んでいると
同じCTF環境に対してアクセスすることができ、解説動画もついていました。
後々落ち着いて時間をかけてやってみると、
自分一人でもオールクリアできたので、
情報共有や情報の整理が大事だったと思われます。
トレーニングが終わってから試験という流れになるのですが、
ここからの話も長いので後編に続きます。