はじめに
SANS FOR578 Cyber Threat Intelligence は、脅威インテリジェンス(CTI)の思考法を体系的に学ぶためのコースです。またGCTIはこれに対応したGIACの資格試験です。
今回FOR578を受講し、GCTIに合格したため、受講した感想と試験対策についてまとめます。
FOR578の概要
FOR578は、SANSが提供する 脅威インテリジェンスに特化したコースです。
脅威インテリジェンスの考え方を学び、それを用いて情報の収集・分析・活用のプロセスを体系的に理解します。
また、分析時に陥りやすいバイアスや、結論の信頼性をどう示すかといった分析思考も重視されます。
現在CTI業務に携わっている方はもちろん、インシデント対応・フォレンジック・マルウェア解析に関わる方にも有用です。またレッドチームの方にとっても、攻撃者の思考と行動を理解することで、ペネトレーションテストの精度向上につながるでしょう。
FOR578を料理に例えるなら
FOR578は、他のSANSのコースとは少し違い、ツール操作よりも、なぜその手法を選び、どのように判断するかを学びます。そのため技術的な要素は他のコースに比べるとかなり少なく、考え方に重点が置かれています。これはセキュリティ分野の経験者にとっては非常に有用となる反面、全くの初心者にとっては抽象的すぎて理解が難しいコースになっています。
FOR578を料理に例えるならば、「煮る」とは何か、「焼く」とは何かを最初に定義し、どのようなケースにおいて使い分けるのが良いか、といった内容が教えられるイメージです。
全くの初心者に、このような概念を教えてもピンとこないでしょう。それよりはカレーの作り方を教えてもらい、実際にカレーを作りたいと思うはずです。
FOR578では、CTIやSOC、インシデント対応の現場をある程度経験している人にとっては、当たり前のように行っている判断が理論立てて説明されます。そのため、講義の内容は概念的でとっつきにくい部分はありつつも、理解は可能でしょう。また理解してしまえば、これまでなんとなくやっていたことを理論立てて説明できるようになるはずです。一方で、全くの初心者にとってはかなり難解と思われます。
もし、何らかのセキュリティ分野での経験がないのであれば、まずはSEC504(インシデント対応)やFOR508(Windowsフォレンジック)を先に受講するか、インシデント対応を通じて実際のサイバー攻撃に触れておく方が良いと思います。
FOR578の注意点
FOR578は、他のコースと比べても特に英語力が必要になると思います。
他のコースの演習ではツールの操作がメインとなり、多少英語がわからなくても、技術力でカバーできるものが多いです。
しかし本コースでは、演習の半分ほどが長文の英語を読み、それを元に分析していくというものです。そのため長文読解が全くできないと、コースについていくことは困難だと思います。
GCTIについて
GCTIは、FOR578の内容に準拠したGIAC認定資格です。公式サイトのとおり、3時間で82問を解答し、71%以上のスコアで合格となります。このうちCyberLive問題(ハンズオン問題)は7問でした。
試験勉強については、以下の過去記事が非常に参考になります。今回の受験でも、ほぼこの方法を踏襲しました。
FOR578とGCTIは技術的な内容が少ない分、他のGIACと比べると技術力でカバーできる問題が少ないように思います。出題はコーステキストの範囲ですが、問われる設問によっては英単語が特殊で難しく、 他のGIACよりも英語力が要求される ように思います。英語に自信がある人でも英和辞書を持ち込んだ方が良いでしょう。
状況の説明があり、それに基づいて回答するタイプの問題は他のGIACでも出てきますが、GCTIは特にこのパターンが多いと感じます。そしてこの手の設問は理解するのがやや難しく、英語そのものだけでなく、その意図まで正確に読めなければ正答できない場合があります。長文の英語を正確に読み取る必要があり、英語が苦手な場合は難易度が上がるかもしれません。
反面、設問さえ正確に読み取れるならば、非技術的な設問も多く、割と英語力だけで突破できる側面もあります。
また、どうしてもテキストを参照する回数が増えます。いつも以上にインデックス作成に時間を割いておくと良いでしょう。
CyberLiveについては難しくありません。ラボで手を動かして練習しておけば十分得点可能です。
2回の模擬試験は81%と87%、本番では86%でした。本当は90%を超えられるように準備したかったのですが、次に控えるタスクとの兼ね合いから最速合格を優先せざるを得ませんでした。学習期間は4週間程度でした。
まとめ
全体を通して、脅威インテリジェンスという分野に対する理解が深まったと感じています。
これを実務に活かすためにはさらなる研鑽が必要になりそうですが、それでも基礎が理解できたというのは大きな一歩だと感じました。