はじめに
GX-FEは、昨年から開始されたGIACのApplied Knowledge Certifications(応用試験)の1つであり、GCFEの上位資格とされています。
出題範囲は公式サイトをご参照ください。
対応するトレーニングコースは公式サイトにあるとおり、FOR500 (Primary fit course), FOR498, FOR508, FOR608となっており、FOR500が最も近い内容ではあるものの、より応用的な問題が出題されます。
試験時間は4時間で25問のCyberLive(ハンズオン)を解答します。スキップして後から解答可能な問題数は10問です。一度解答した問題には戻れません。
試験中は2回まで、合計15分間の休憩が取れます。GIACは以前とは異なり、休憩前にスキップした問題をすべて解答する必要はなくなりましたので、いつでも取れます。
今回私はGX-FEのベータ試験に招待いただき、無事に合格することができました。試験の内容については書けませんが、試験までに行った勉強法について記載したいと思います。
事前調査
ベータ試験ですので事前情報は一切ありませんでした。Applied Knowledge Certificationsはデモ試験を購入できますが、ベータ試験受験時点では提供されていませんでした。これから受験される方は購入できるようになっていますので、一度これを受けてみると難易度や雰囲気がつかめると思います。
勉強方法
ベータ試験の時点では、FOR500がPrimary fit courseであることは明言されていませんでしたが、試験範囲から恐らくそうであろうことは予想できていました。運よく直前のGSP取得で入手したFOR500の最新教材があったため、ラボをすべてやり直し、必要そうなコマンドを自作のチートシートにまとめました。
また、SANSのポスターのうち、フォレンジック関連のものを印刷しておきました。
本番で持ち込んだのは作成したチートシート、SANSが公開しているチートシートをいくつかと、SANSのポスター、英和辞書です。
試験本番
ベータ試験ではありますが、やることはGX-IAやGX-CSと同じです。
概ね6割正解で合格できるだろうとの予想を立て、全くアプローチがわからない問題は5問までは躊躇なく捨てる。試行錯誤が必要な問題はとりあえずスキップする、わかる問題から取り組むというスタイルをとりました。
25問すべて一応回答はしたものの、自信がある問題は15問程度、全くわからなかった問題も数問あり、やむなく適当に回答しました。
私はフォレンジック分野の経験が10年ほどあるため、FOR500の内容は十分理解していると自負しています。それでもわからない問題がいくつもあり、改めてフォレンジックの奥深さ、広さ、そして自分の未熟さを思い知らせた試験でした。
試験結果
ベータ試験では試験終了時の結果発表はありません。後日GX-FEの正式発表とともに合格の連絡がありました。
試験範囲ごとの成績は通常通り表示され、以下のとおりです。合格してもStatusはCompletedのまま変わりませんでした。
星の数から考えると、概ね7割程度は正答できたのではないかと予想します。
結果を振り返ってみると、私はクラウドストレージの調査はあまり経験がありません。一方インシデントレスポンスではアプリケーションの実行やブラウザ履歴、ネットワークなどは頻繁に調査するため、比較的得意分野だと思います。まさに私の得意・不得意が結果に表れていると感じました。
Applied Knowledge Certificationsのコツ
GX-IA、GX-CS、GX-FEと3つのApplied Knowledge Certificationsに合格した経験からは、これらの試験に共通して言えることがいくつかあります。
最大のコツは時間管理と諦めない心だと思います。240分で25問解答するためには1問あたり9分しかありません。問題を理解し、VMを操作し、解答を送信するまでの時間は最短でも2~3分はかかるため、試行錯誤できる時間は6~7分程度です。
とにかく時間が足りなくなるので、わからない問題はスキップし、わかる問題から解くのが基本です。一方で、諦めずに頑張れば答えがわかったり、完全な回答に至らなくても、選択肢が絞り込めるかもしれません。目の前の問題をスキップするか、時間をかけてでも解くかの判断が合否の分かれ目になるように思います。
この判断はかなり難しいですが、私は1分考えてアプローチがわからない、または3分試行錯誤して回答できない場合はスキップもしくは諦めて適当に回答することを目安としていました。前半は時間をかければできそうだったとしても、スキップした方が安全かもしれません。後半はそのような問題であれば少し時間をかけてでも解答した方が良さそうです。
また、問題によっては何を聞かれているかすらわからなかったり、使うべきツールすらわからないというケースもあります。そういう問題は潔く諦めましょう。一方で、比較的簡単で解ける問題はあるはずなので、解ける問題を確実に解くために時間を使うべきです。解ける問題は最速で解答することで、他の問題に使える時間を増やせます。
GX-FE試験ではスキップ枠は23問目までにすべて使い切りました。スキップ枠を余らせるメリットは全くありませんので、躊躇なくスキップを選択する作戦は有効だと思います。
また、スキップした問題に戻ると、意外と解ける問題が含まれてることも多いです。初見では解き方がわからなくても、違う問題を解くことによってひらめきが生まれるのかもしれません。
スキップした問題は25問目の後に再度出題されます。この時スキップした問題の数は表示されませんので、必ず手元のノートボードにスキップした問題の数をメモしておきましょう。残り何問なのかわからないと残り時間をどれくらい使うべきか判断できなくなります。
目安としてですが、10問スキップするなら残り時間は1時間残しておくべきでしょう。このため180分で25問のうち解答できそうな15問を解答するのを1回目の目標とし、残り時間でスキップした10問のうち5問を試行錯誤して解答する作戦が良いかもしれません。残り5問は捨てざるを得ませんが、これまで合格した3つのApplied Knowledge Certificationsでは明らかに5問は間違っても合格できているので問題ありません。
事前の勉強はある程度役に立つと思います。用意したチートシートに記載したコマンドが使えたらラッキーです。ただ、基本的には各種コマンドやツールは使える前提の問題が出るのと、その場で試行錯誤が求められることが多いので、事前に勉強するというよりかはこれまでの経験が問われる試験と言えると思います。
とはいえ、よほど自信がある場合を除いては、Primary fit courseのラボはすべてやり直しておくことを強くお勧めします。
To GIAC exam development teams
Thank you for inviting me to take the GX-FE Beta exam. The exam was quite difficult even for me with 10 years of forensics experience. Thanks for creating very good questions.