前回は、受験を開始する前までに準備しておいた方が良い、と思ったことや、自身が準備しておいてよかった、と思ったことを書きました。
今回は前回の続きで、実際の受験時のお話を書いてみます。
受験の申し込み
前回の記事でも触れましたが、GIACの有資格者であれば、いつでも受験の申し込みができます。
例外として(?)、Gold 合格後は一定期間受験できませんw
CPEが、GIACの更新に必要な36ポイント付与されます。
これを使用した後、再受験できるようです。
・・・私も、1回目の合格後は受験できなくなっていましたが、いつの間にか受験できるようになっていたので2回目を受け、受かった直後の今はまた申し込みができなくなっています。
受験の申し込みはGIAC (SANS) のアカウントでログインし、GIACのポータルや「My Certification History」のページから申し込むことができます。
申請するだけではダメで、Abstract を提出する必要があります。
この Abstract が承認されて、受験費用(私の時でUS$599)を支払うことで試験開始となります。
Abstractの書き方は、これもググったほうが論文に詳しい方々の意見を知れる(この記事の意義とは一体)のですが。
概ね以下の内容が十数行程度で書かれているべきでしょう。
- 論文の背景(背景になった問題点の提起。)
- 論文の目的(なぜこの論文を書くのか、なぜ価値があるのか。)
- 研究の方法(実際の手法など。特に論文にするにあたり新規性は強調したい。)
- 研究の結果(提案した方法でどのような結果を得られたかを一文程度で要約。)
- 結論(以上の項目の総まとめを一文程度で要約。)
- 残った課題(これは必須ではないと思うが、あれば書けばよいと思う。今後の展望等などもアリかと思われる。)
Gold Paperの冒頭にも Abstract が掲載されますが、私も Abstract はガンガン指摘されました。
(注:受験申込時の Abstract がそのまま Gold paper の Abstract になるわけではないです。もちろん、出来がよければそのままで良いんですが。)
特に重要なのは「結果」と「結論」の書き方でした。
要は、論文のオチのネタバレを Abstract で書くってことです。
論文に興味を持って読む人は、概ねジャンルとタイトルで興味を持ち中身を見ることとなります。
ただし、そういった研究者もヒマではないので、「自身の興味や研究範囲と大きくズレている論文までは目を通している余裕がない」という事情もあります。
そのため、まず Abstract に目を通し、自分の欲しい情報が得られるか、自分が期待しているような内容の論文か、ということを判断します。
Abstract は、これを満たす内容を求められる、というわけです。
前回の記事でも書きましたが、Gold Paper に挑戦する際に「書く内容の全体の検証等は一通り完了しているか目途がついており、全体の構成も決まっているほうが余裕をもって試験に臨める」と書きましたが、実際のところ「研究の目途がついていないと、Abstract を書く段階で窮してしまう」というのが本当のところかな、と思います。
Abstract を書いて登録したら、その結果を待ちます。
数日程度は待つことになると思います。
結果はメールで受け取れるほか、GIACのポータルでも確認できます。
私の場合、「Your GREM Gold Application #xxxxx」というタイトル、「Your GREM Gold application has been accepted.(以下、手続きに関する説明)」という文面でメールが届きました。
Abstract が通ったら、メールの指示に従ってGIACのポータルにログインし、支払い(大抵はクレカだと思います)をしてまた数日程度待ちます。
支払い確認と Mentor をアサインした旨のメールを受け取り、6ヶ月以内の試験が開始となります。
論文の作成(序盤)
頑張って書け。
・・・いやもう、それしかねーだろ(笑)。
ここが一番の踏ん張りどころだし、試験の第一関門(意味深)だし、ここを自力で突破できるから「Gold」なんだぜ?(あ、なんかカッコいいこと言おうとしてる。しなびたおっさんのクセに。)
自分の今までの知識・技能・思いの丈を目一杯ぶつけなさいなw
論文の書き方は、前回の記事で書いたとおり、「新規性」、「有用性」、「信頼性」を意識して、それぞれの章に盛り込んでいきます。
論文の章立ては、私は「提起(Introduction)」、「解説」、「解決法の提示」、「検証方法と結果」、「結論(Conclusion)」で書いています。
このあたりは、大学の先生方の論文の書き方の解説のほうが参考になるかなと思います。(だからこの記事の意義ィィィイイ)
ドキュメントの形式は決まっており、Wordでテンプレートをダウンロードできるようになっています。
(https://www.giac.org/gold-overview/ の「GIAC Gold Paper Template」でいつでもダウンロードできます。)
なお、Word以外のテンプレートは無い模様。
「私はMacなので Pages しか使わない!」という方もいるかもしれませんが、このペーパーを書く際は素直に Word を使いましょう。
Reference の重要性
一通り書いたら、論文の全体を見せたり進捗の報告を兼ねて Mentor に見せるのもアリですが。
やはり、ある程度形にして提出したいところです。
前回記事で述べた通り、 Mentor も専属の教員ではなく、現場で活躍されている方がアサインされるため、流石に頻繁なやりとりははばかられます。
また、自身の作業やイベントもあるので、返信まで時間がかかります。
論文の作成では、自身の理論や解説、検証結果、結論は書きあげられると思います。
しかし、論文の理論を補う Reference(参照) も重要なファクターとなります。
Reference は、「自身の論文には関係する、または論文を読むうえで必要な知識、情報だが、論文の本筋ではないような内容」について、既存の本や記事を参照してもらうようにするためのものです。
例えば、「最近はランサムウェアの被害が増えている。」と文章を書いた場合、それは筆者の個人的な感想ではないか、と指摘される可能性があるでしょう。
そういった場合、IPAやサイバーセキュリティの調査会社が公開している資料を Reference として設定しておくことで、客観的、あるいは他者の調査結果に裏付けられている表現、ということを示すことができます。
私が書いた「Malware Function-based encryption technique」では2ページ近い Reference を付けていますが、例えばマルウェア解析の基本的な方法やメモリフォレンジックの方法、ツールの紹介、暗号そのものに関する解説などは Reference を設定し、それらについて分からない、詳しく知りたい人は Reference の記事を見てくれ、という形にしています。
Reference にはルールがあり、2022年1月に申し込んだ段階では、「APA style」を使用すること、となっています。
バージョンもあり、2022年1月に申し込んだ段階で「APA 7」が標準でした。
GIAC Gold paperの書き方に書いてあったのですが・・・私がこの方式に詳しくなく、最初はすっとばしてしまっていました。
私も Mentor に以下のアドレスを教えてもらい、必死こいて Reference を作り直しました・・・(それだけで数時間かかったよ・・・)。
以上のHP以外でも、情報を入力するとAPA形式にしてくれるページがあるので、使いやすいページを利用すると良いでしょう。
また、Reference は本文とリンクしていなければいけません。
これも APA style のため、該当する本文の文章の末尾に「(名前, 年)」という形式でリファレンスと紐づけることになります。
このあたりは、日本でよく見かける論文の形式の「[1]」という数字での紐づけ方とは異なるので注意してください。
よく分からなければ、試しに SANS の White papers をいくつか覗いてみると分かるんじゃないかと思います。
論文の作成(中盤)
一通り出来上がったら、 Mentor に提出します。
この時の受け渡しは、基本的にはメールに添付で問題ありません。
クラウドストレージを使っても問題はないと思うので、それは Mentor とメールで相談すればよいかと思います。
なお、メールに添付する場合は、日本人で一部にいまだ大好きな人がいる PPAP は必要ありません。
ファイルを暗号化しても、パスワードを同じメールで送っていたら意味ありませんし、「いずれ公開されるペーパーなのに、そのドラフト文書を暗号化して意味あるの?」って言われます。
(4年前の1回目受験時、ファイルをどうやって送ろうか、暗号化は必要?ってメールで聞いた時に普通にそんな感じの返信がありました。)
メールを送ったら、返信がくるまで気長に待ちましょう。
もちろん、待っている間でも自分で推敲したり追加の検証等をするのは問題ないですが、 Mentor は校正モードでコメントを入れて返してくれると思う(少なくとも、私の受験時は2回ともそうだった)ので、あんまり差分があるとデグレードしてしまうため、手を加えるなら差分が分かるようにするのが賢明です。
返信は、そもそも数十ページの Gold Paper なので、いかに第一線の猛者の Mentor でも、そんなにささっと読めるわけがありません。
しかも、Mentor は実務で普通に忙しいです。
少なくとも、1週間はかかるとみておいたほうがいいでしょう。
1週間以上経っても音沙汰がない場合は、注意喚起程度でメールを追って送ったほうがいいです。
理由として、Mentor も人間なので、うっかりメールを見落とす、または見てたけど忘れてた、ってことがあります。
もう一つの理由として、添付ファイル付きのメールが自動的に「迷惑メール」に振り分けられちゃうことがあるそうです。
私も、今回の Gold Paper では1~2回そのようなことがあったようで、迷惑メールに分類されてて気づくのが遅れた!というメールがきていました。
Mentor の校正入りの返信を受け取ったら、論文の修正に入ります。
Mentor の指摘は、全体の構成としてこんなことも書いた方がいい、という大きな視点のものだったり、ここの意味がわかりづらい、ここはこういう説明があったほうがいいといったある程度ポイントを絞ったものと、様々です。
これらの指摘に対し、色々見なおして修正していきます。
もちろん、指摘事項であっても、こだわりがあって直さないならそれは筆者の意思が尊重されます。
しかし、客観的に読んだ結果としての指摘は、自分以外が読んだら分かりにくい、または説明が不足しているということなので、素直に聞いた方がいいかと思います。
また、場合によっては論文に関する検証をしなおしたり、画面ショットや検証結果等を追加したりといったことも必要になります。
このため、修正も1週間以上かかったりするのもザラです(私だって日中は仕事だし)。
特に、私の2回目の試験の時は、取り扱っている題材は文句なく面白いが、現状のままだと一部の人しか読めない、と言われてしまいました。
要は、説明不足・・・というか、ある程度以上の実力が無いと理解できないような内容、ということでした。
技術の論文である以上、どうしても基礎知識が必要なのは当たり前なのですが、ドラフトの論文ではそのスタートラインに求める技量が高すぎる、もう少しレベルが低い人でも文章内で丁寧に説明し、段階を追って理解できるようにすることで読者層を広げた方がいい、という指摘でした。
つまり、「より多くの人に読んでもらい、理解してもらうような文章が書けるようになること」というのも、 Gold Paper の試験の目的の一つであると思います。
試験であると同時に、スキルを磨く場でもあるということです。
なお、私のように英語がダメな子は、このあたりで「ネイティブレベルで(英文法レベルで)助けてくれるフレンドはいない?」って聞かれると思います。
もし頼める人がいたら、メシなり酒なりおごって手伝ってもらってください。
論文の作成(終盤)
中盤では論文の直しも多く、私も節をいくつか追加したり、そもそもの章の中身を大きく移動させたりと大規模な修正が発生しました。
そういった修正を経て、終盤に差し掛かると、大きな修正も減ってきて、論文全体が固まってきます。
これくらいの段階で、恐らくグラマーチェックは1度はやることになります。
これは、ネイティブの人でも長い文章だとミスもでるでしょうから、ツールによるグラマーチェックは必須だと思います。
また、私のように英語が得意でない人は、ネイティブチェックの利用を考えるかと思います。
ネイティブチェックをするなら、これぐらいのタイミングになります。
ネイティブチェックの利用をする場合、費用が別途かかるのはもちろんのこと、日数もある程度かかります。
このため、ネイティブチェックの利用を考えるならば、その日数も論文作成に盛り込んでおく必要があります。
5ヶ月目に入ってからでは、チェックに出して返ってきて修正、だとかなりキツくなると思います。
(お高くなる代わりに短期間でやってくれるプランもあるようですが、そちらはお財布の方がキツくなりますw)
文章の構成の修正が終わり、文法のチェックも終わってくると、論文もほぼ出来上がりです。
あとは、最終的に全般を見なおして修正もれ、ミスの有無を確認します。
この頃になると、 Mentor とのメールでのやりとりでも、「そろそろ提出かな」という話になります。
もうこれでOK! となったら、最終版(校正済みになっているもの)を Mentor に提出します。
Mentor に最終版を提出すると、Mentorから試験官に提出され、「Final review」というステータスになり、試験官の査読に入ります。
ある意味、この時期が一番ソワソワするかもしれません。
(いやもう、出しちゃったらもうどうにもならないので、後は野となれ山となれとデンと構えてればいいんですが・・・。昔から、試験後は落ち着かない小物なんですyo)
試験官の査読も当然時間がかかります。
これはもう、1ヶ月くらいはかかるとみたほうがいいです。
実際、私の2回目の試験では、1ヶ月ちょっとかかっていました。
そして、合格へ・・・
試験の結果は、GIACからメールが届きます。
GIACのポータルにログインすると、ステータスが「Passed」になっています。
また、Mentor からも祝福のメールを頂けたりします。
やっぱり、この時がサイコーですわー。
(お酒がウメ―ですわー)
合格のメールのあと、更にいくつかのメールが来ます。
GIACの資格は4年で更新が必要ですが、Gold paperに合格すると更新に必要なCPEが36付与されます。
つまり、Gold 一発通せば、GIACのトレーニング受講や再試験などでCPEを取らなくてもOKということになります。
さらに、このCPEは関連する3つの資格まで適用できるので、GIACの資格を複数持っている方は維持に有効ですね。
GIACからは、アンケートも来ます。
Gold の試験についてのアンケートなので、評価点を選択し、文章で感想などを書けばOKです。
私の場合は、Mentor から「White papersのどのカテゴリーに掲載するか?」ということをメールで聞かれました。
カテゴリーとは、SANSのWhite papersのページの左側にある「Focus Areas」のどこに含めるか、ということです。
自分の書いた内容と合ったカテゴリーを指定してメールに返信します。
すると、数週間の後に自分の Gold paper が晴れて世界に公開されます。
数か月の挑戦を乗り越えて合格の末に公開されると、感動もひとしおですよ。
そして、自身の文章を見て叫びたくなる・・・www
あるぇえええ!!!???www
あんだけ頑張って、提出したときには「この上ない完璧な出来栄え!」と思って出してるのに、いざ掲載されたのを見直すと、やっぱここはもうちょっとああしたほうがよかった、これじゃ少し分かりにくいぞ何やってんだ俺、ってなってきます。
最近出した2回目のペーパーですらこれなので、ぶっちゃけ1回目のペーパーは、今見ると「なんでこれで通ったんだ俺?」レベルっすよ、いやマジで・・・。
本まで出している方は、サイバーセキュリティの技術だけでなく、このあたりのスキルも身に付けているということですね。
とはいっても、一定の水準は満たしているので合格、掲載に至っているので、それはちゃんと胸張っていいかな、なんて思っています。
さいごに
GIAC の Gold の受験に関して、自身の体験を元に、試験を振り返りつつざっくりと書いてみました。
そもそも GIAC の資格をとる必要があること、Gold paper が英語というのが、日本人の受験者にとってハードルが高いのではないかと思います。
また、Gold paper を書くためのネタも重要で、これは日々の研さんの中から見つけていく必要があります。
しかし、サイバーセキュリティの資格としては最高峰レベルですし、機会があれば挑戦してみてもいいのではないかと思います。
Gold paper の試験は、絶対的に高い能力がある人だけが受験でき、合格できるもの、というわけではない気がします。
(そりゃ、ある程度以上は必要なんだけども。)
どちらかというと、高度な内容を読み手に理解してもらえるよう、どのように説明するか、どのように信頼性を担保し証明するか、どのような解決法を示せるか、という文章作成能力が重要な試験だと思います。
また、単純に試験というより、そのような文章作成能力を身に付ける勉強の場でもある、というのが受験した感想です。
やってみると、単純なサイバーセキュリティに関するテクニックとはまた違った勉強になるので、興味がある方は一度トライしてみてはどうでしょうか?
そんな感想を持った受験でした。
今回の記事を見て、「ちょっとやってみようかな」と思ってもらえれば幸いです。