はじめに
このたびGIAC Certified Enterprise Defender(GCED)を受験しました。
合格ラインが 69% に対し 73% と、余裕ではないもののなんとか合格することができました。
この記事では、私なりの 勉強方法 や 試験を通して感じたギャップ をまとめます。
SANSコースを受けていない方、独学で挑戦する方の参考になれば幸いです。
GCED試験とは?
GCEDは、エンタープライズ環境の防御に関する実践的な知識とスキルを問う資格です。
防御・検知・対応といった Blue Team視点 のスキルが中心です(詳しくは上記サイト)
ログ分析・ネットワーク防御・フォレンジック・インシデント対応など、現場のCSIRT活動にも直結する内容です。
- 問題数:115問
- 試験時間:3時間
- 合格ライン:69%
私は以前に GSEC(GIAC Security Essentials) を取得しており、
さらに防御側の知識を深めたいと思い、このGCEDに挑戦しました。
勉強方法
私は SANSコースを受講せず、完全に独学 で学習しました。
GCED公式サイトには出題カテゴリが掲載されていますが、やや抽象的で最初は何から手をつけていいか分からず……
まずは模擬問題を受けてみて、「どんなスキルが求められるか」を肌で感じ取ることから始めました。
学習の進め方
- 模擬問題で出題傾向を把握する
- 各カテゴリに関連しそうな 専門書・個人ブログなどで知識を習得
- 手を動かした方が理解しやすいツールは OSSを中心に実際に触ってみる
- イメージを掴むことを重視
- ChatGPTで纏めた知識の整理や応用パターンの会得
なお、カテゴリのうち 侵入検知・パケット分析 は以前取得した GCIA の範囲と重なると思ったため、今回はほとんど手をつけませんでした。
- 総学習時間:約80時間
試験について
持ち込み可能な資料として、以下を準備しました:
- GCIAのときに使ったパケットキャプチャ関連コマンドのメモ
- ツール名と特徴をカテゴリ(マルウェア分析/ペネトレーションテスト など)ごとに整理した表
- Linux / macOS / Windows 各OSのセキュリティ関連フォルダパスのメモ
- フォレンジック関連の SANSポスターを自分用に簡略化したメモ
試験は3時間で115問...
1問あたり約90秒しかありませんが、テンポ良く進められ、最終的には 30分ほど余らせて終了 できました。
感想・気づき
- SANSのポスターは非常に有用。 特にフォレンジック・インシデントレスポンス系は役立った。
- 一部は「時間をかければ読み解ける」問題。しかし暗記問題 も一定数あった。
(日常的に業務で扱っていれば即答できるレベルの内容も多いです。) - 一般辞書には出ないような「セキュリティ」に特化した英単語も多かった。
- フォレンジックやIR関連の設問は かなり実務寄り。
- CTF(マルウェア解析やメモリフォレンジック)の経験から解けた問題もあった。
次の目標
Practitioner Certificationsを3つ取得することができました。
- GSEC
- GCIA
- GCED
これに加えApplied Knowledge Certificationsを2つ取得すればGSP認定となります。
- GCIAの上位であるGX-IA
- インシデントハンドリング系のGX-IH
これらの取得を目指したいと思います。