1. はじめに
表題の通りです。
今回は 『CompTIA PenTest+(PT0-002)』 という資格をゲットしたので、
「なんぞそれ?」な方や、これから受験する方のために記事にしておきたいと思います。
(資格とか退屈な方は5.まで飛ばしちゃってOKです
筆者のスペック
- 社会人数年目のセキュリティエンジニアもどき
- 肩書き:社内CSIRTメンバー(約2年)。元SOCアナリスト(約2年半)
- 資格:
- 情報処理安全確保支援士
- CND(認定ネットワークディフェンダー 的なやつ)
- CEH(認定ホワイトハッカー 的なやつ)
- スキル:
- 主にログ分析やインシデント対応
- CTF参加やペネトレーションテストの経験 皆無
- TryHackMe:[0x9][OMNI]レベル(半年ぐらい頑張ってた)
CompTIA PenTest+を受けようと思った理由
上述の通り、TryHackMeというハッキング学習プラットフォームで業務では直接習得できないハッキング分野の学習を進めていました。
半年ほどやり込んだところで、「せっかくなら"資格"という形で残るものが欲しいなぁ」 と思い立ち、(Learning Pathにもあった)この資格を受けてみることにしました。
あとは資格をマイルストーンにして勉強したかったのもあります。
そしてCEHのクレジットに追加したかったのもあります。
2. CompTIA PenTest+とは?
名前の通り、ペネトレーションテスト (※) に関する知識やスキルを証明するための資格。
実践的な側面の強いペネトレーションテストの資格にしては簡単だと言われていることが多いです。
似たような認定資格として、それこそCEH(認定ホワイトハッカー)があります。
(二つの違い・個人的な所見については後述)
以下、CompTIAの日本語ページより引用。
CompTIA PenTest +は、最新のペネトレーションの手法やネットワークのレジリエンスを判断するために必要となる脆弱性評価と管理などのスキルを評価します。ネットワーク上の脆弱性を特定、報告、管理するための実践的なペネトレーションテストを行うサイバーセキュリティプロフェッショナル向けの認定資格です。様々なIT環境での攻撃対象領域がカバーされており、クラウド、ハイブリッド、Webアプリケーション、IoT、オンプレミスなどに関連するペネトレーションテストのスキルとそれぞれの実施計画、報告などのスキルを評価します
元画像の引用元:https://www.comptia.jp/certif/comptia_certification/
(※) 『ペネトレーションテスト』って?
あぁ!伝説上の生き物さ! 日本語で言うと「侵入テスト」。
悪意のある攻撃者としてサイバー攻撃シナリオの計画~実施を通じて、企業ネットワークやシステムのセキュリティを評価するテスト手法。
「攻撃シナリオに基づいたシステム・ネットワークへの侵入可否の評価」を目的とする。
よく似たワードとして 『脆弱性診断』 があるが、こちらは「システムに対する脆弱性の有無の洗い出し」を目的とするため、厳密には別物であることに注意。
-
試験形式
- 問題形式(選択式、パフォーマンスベース問題)
- 問題数:最大85問(後述)
- 試験時間:165分
-
合格基準や費用
- 合格ライン:750/900
- 受験費用:ビアソンvue経由で約5,2000円程度(2024/11時点)
3. 勉強の進め方
学習期間と時間の配分
- 総学習期間:1ヶ月半程度。(およそ30h程度?)
- 平日は出勤時の電車の中で練習問題、休日は練習問題で模擬試験&不明点の学習といった具合にやっていました。
使用した教材
-
(Udemy)「CompTIA Pentest+ (Ethical Hacking) Course & Practice Exam」
- 今回は公式テキストなしで挑むことにしたので、一通りの学習項目を網羅しているコースをセール時に購入。
- 動画は日本語字幕の精度が高くて違和感なく視聴。ただし個人的に動画は苦手。これに関してはテキストも同梱されていたので助かった。(テキストは英語のみなので、Google翻訳にぶち込んで直訳。)
- 練習問題は、確認には良いが試験対策にはならない。(本番と結構違う。)
-
(Udemy)「CompTIA PenTest+ PT0-002: The Ultimate Practice Exam 2024」
- 見るからに胡散臭い練習問題だが、こういうチープな問題を数こなすのが海外の資格試験では案外重要。
- こちらもUdemyのセールで購入。
-
ExamTopics
- 昨年受けたCNDでもお世話になった練習問題サイト。
- 正直これが一番参考になった。怪しいブレインダンプ系のサイトとは一線を画すシンプルさ。
4. 試験直前の対策
-
確認したポイント
範囲は広く、存外に深いです。
試験に受かるなら以下については特に押さえておいて損はないです。- CompTIA Pentest+特有の概念(テストの計画・コミュニケーションの種類・レポート後の活動etc)
- Nmapコマンドの各オプションの意味
- 各種攻撃のコードの具体例とそれぞれの対策
(SQLインジェクション、DOM XSS、コマンドインジェクション) - スクリプト・プログラミング言語の読解(このコードが何をしようとしているのか)
5. 試験当日
- 当日は朝からのんびりと準備して、2時間程度テキストの見直しと練習問題の確認。
-
会場の雰囲気や手続き
- 今回は新宿の試験センターで受験。待合スペースはなかったので注意。
- 予定時間から30分以上早い時間に到着して、手続き。
- そこで、なんと身分証明書を財布に入れ忘れていることが判明…!😱
- 「終わった…」と思いながら告げると、試験センターのお姉さんが
「今日中なら(予定時刻を過ぎても)入れるので取りに帰って来てくださいね」
と手を差し伸べてくれました。 - 今年一番の全力疾走で自宅-新宿間を行き来したおかげで、直前に詰め込んだものは全て吹っ飛びました。笑
-
試験問題の印象
- 汗だくになりながら入場し、諸々の注意事項に同意しながら試験開始ボタンを押す。
- そこで私の場合、 全65問 と表示されました。(す、少ない…
- 最初の3問はパフォーマンスベースの問題。ほぼ練習していなかったため全く自信は持てずにスキップ。
- 選択問題についても明らかに知らない問題が数問あり、「これは落ちたか?」と思いながら回答。
- 約30分で一周。もう30分かけて2〜3回解答を見直し、観念して試験終了ボタン。
- その後CompTIAのアンケートを解答して、最後の画面が表示され…
「おめでとうございます。」
う、受かってた〜・・・
試験前といい、ギリギリもいいとこです。
6. 合格後の感想と次の目標
この資格を取ったからと言って、ペネトレーションテストができるようにはなれないと思います。
それは、やはりペネトレーションテストは実践的なスキルであるためです。
しかし、この資格の取得を通じて、ペネトレーションテストという仕事の流れと考えるべき内容を知識として得ることができたのは大きいです。
今回得た知識を基にTryHackMe等で実践的なスキルを身につけて、来年はOSCPに挑もうかと思います。
7. まとめ
教訓
- 練習問題を頑張ろう
- 試験当日は身分証明をちゃんと持ったか確認しよう
CEHとの違い
-
試験の難易度としては、CEHの方が知識よりも「理念に則った場合にどう行動すべきか」という意識を問う曖昧な問題が多いため、成否が分かりづらい気がします。
-
PenTest+は範囲が広く、その中の知識を多く問われます。加えてパフォーマンスベーステストもあるので、知識のアップデート・棚卸しには良い機会だったと思います。
-
また、日本語版CEH試験を受けるには、(私の知る限り)前提条件として公認研修を受ける必要があるようで、その場合はとても高い受講費用を支払う必要があります。
→CEH受験相当の知識と業務経験を証明できればスキップできるはずですが、そうでない場合はPenTest+のほうがハードルの低さでは軍配が上がりますね。
| EC-Council CEH | CompTIA Pentest+ | |
|---|---|---|
| 試験の難易度 | 中~高? | 低~中 |
| 試験問題の性質 | ホワイトハッカーとしての行動理念寄り | ツールや手法の知識寄り |
| 問題数 | 125問 | 最大85問 |
| 出題形式 | 選択式 | 選択式+パフォーマンスベース形式 |
| バージョン | v12(2022/07) | PT0-002(2021/10) |
| 受験資格 | 公式トレーニングの受講、または2年以上の情報セキュリティ関連の実務経験 | 特になし |
| 標準 | ISO17024認証に加えて、経産省「情報セキュリティサービス基準」にも記載。 | ISO17024認証 |
| 受験費用 | 約60万円(研修+試験) | 約5万円(試験のみ) |
注意(試験バージョン)
・受験後に知りましたが、本国では今年の12月以降にはPenTest+の新しいバージョン(PT0-003)がリリースされるようです。
・・・え、今回受けた認定はどうなるの?(完
↓英語版試験ページ(Google翻訳)
8. 付録(オプション)
-
参考資料リスト
-
大いに参考にさせていていただいた記事