2023年1月にeLearnSecurity Junior Penetration Tester(eJPTv2)という48時間のペネトレーションテスター向け試験を受けて無事合格しました。
eLearnSecurity Junior Penetration Testerの試験概要については詳しい記事があるので(下記参照)、バージョン2の試験で変わったこと、勉強方法、試験の感想について共有します。
①https://qiita.com/v_avenger/items/245fb0b23de4e206396e
②https://shinobe179.hatenablog.com/entry/2022/09/23/015454
eLearnSecurity Junior Penetration Tester v2(以下、eJPTv2)は2022年夏に公開された、48時間のペネトレーションテスター向け認定資格です。
ホスト、ネットワーク、および Web アプリケーションのペネトレーションテストを使用した評価方法と監査を対象としています。
下記の通り、v1に比べて試験時間は一日短縮され、問題数が多くなりました。
また、多肢選択試験に加え、獲得したFlagを記入する問題があります。
比較表:
| 項目 | eJPTv1 | eJPTv2 |
|---|---|---|
| 試験時間 | 3日間(72時間) | 2日間(48時間) |
| 問題数 | 20問 | 35問 |
| 合格スコア | 15問以上(75%以上) | 25問以上(70%以上) |
| 解答形式 | 多肢選択試験 | 多肢選択及び記入方式 |
難易度:
eJPTv1を受けたことがないので、正確に比べることはできませんが、
私にとってはeJPTv2は難しかったです。
単なるCapture the Flagの試験ではなくて、すべてのデバイスをハッキングできても合格できるとは限りません。
最近のテストに関するブログを見ると、「これはエントリー資格ではない、難し過ぎる」という批判的な声がありますが、
それをクリアすることは価値あることではないかと思います。
準備方法:
試験準備にあたり、ine.comで143時間の通信講座を受けました。
講師はJosh Mason氏とHackerSploitの創業者であるAlexis Ahmed氏です。
講座では、229のビデオ、154のクイズ、120のラボの構成になっています。
興味深いな内容なので、全部を見て、ノートを取りながら全てのラボを実践しました。
年末年始の休みがあったので、それも非常に助かりました。
感想:
通常の試験より長時間ですが、内容は面白くて、はまってしまいました。
攻撃するマシンが多く、Passive手段及びActive手段で得られた情報の整理が非常に重要になります。
テスト環境では、他のペネトレーションテスト(例:OSCP)と同じように使用できるツールを制限しているので、デフォルトでKali Linuxにインストールされているツール以外は使用できません。
しかし、Kali Linuxでは600ツール以上あるので、基本的に大丈夫でしょう。
試験では、攻撃手段を重視しているように感じました。
例えば、攻撃手段は三つありますが、求められている情報を得るため、最も相応しい手段を選ぶ必要があり、答えは1つというところが、専門性を問われていると感じます。
これまでCompTIA Security+、CompTIA Penetration+、CISCO CCNP Security、Microsoft Certified: Security Operations Analyst Associateといったセキュリティ関連資格は受けたことありますが、eJPTv2は他の試験と違って、非常に実践的な試験で、忍耐 も時間管理 も非常に大事です。
実際のペネトレーションと同じようなリアル感があり、限られた時間(48時間だけ)で外から中へエンタープライズ・ネットワークをアクセスできるようにし、お客様の脆弱性を評価するものとなります。 Metasploitのトラブルシューティングができると、非常に役立つでしょう。
今後、CompTIA CASP+、CISSPを挑戦する予定ですが、eJPTv2のお陰で、API HackingとBurp Suite Certificationへの関心が高まりした。