はじめに
GIAC Applied Knowledge Certificationは2023年から開始されたGIAC試験で、GSPやGSEを取得するために必要になる資格群です。
GCIH、GCFA、GPENなどの従来の資格はPractitioner Certificationと呼ばれます。すべて対応するトレーニングコースが提供されており、トレーニングコースを受講すれば容易に合格できるレベルになっています。基本的には4択問題で、一部の試験ではCyberLiveと呼ばれるハンズオンの問題が出題されます。
一方Applied Knowledge Certificationは、トレーニングコースを超える内容の問題が出題されます。試験は本記事執筆時点で6種類提供されており、共通して4時間で25問のCyberLive問題を解答します。
問題の難易度は高く、1問あたり10分未満しか使えないため、トレーニングコースを受講しただけで合格するのは難しくなっています。
Practitioner Certificationを3つ、Applied Knowledge Certificationを2つ取得するとGSP(GIAC Security Professional)に認定され、Practitioner Certificationを6つ、Applied Knowledge Certificationを4つ取得するとGSE(GIAC Security Expert)に認定されます。これらの認定されると、保持しているGIAC資格がすべて更新されるというメリットがあります。GIAC資格を多数保持している場合は取得するメリットがあると思います。
Applied Knowledge Certificationの概要
本記事執筆時点で、GX-CS、GX-IA、GX-IH、GX-FE、GX-FA、GX-PTの6つが提供されています。私はこのうちGX-CS、GX-IA、GX-IH、GX-FEに合格しています。
以下は合格時に執筆した記事です。
前述のとおり共通して25問を4時間で解答します。このため1問あたり約9分で解答する必要がありますが、ほとんどの問題は9分以上かかってしまうレベルの問題です。
試験前の準備
事前学習
Applied Knowledge Certificationにはprimary fit courseが存在します。これは各試験の公式ページで確認できます。例えばGX-IHであればSEC504です。これはSEC504の内容に近い問題が出ますよという意味ですが、あくまで近い内容であって、コース教材のラボより基本的に難易度は高いです。試験対策として、primary fit courseのコース教材が手元にあるならラボを中心に復習しておくことを強く推奨します。そして必要になりそうなコマンド、ツールは慣れておくとともに、必要であればチートシートを自作しておくことも有効です。
一方で、明らかにprimary fit courseの内容ではない問題も出題されます。公式ページに記載があるコースの教材が手元にあるなら一通り確認しておいた方が良いでしょう。
デモ問題
また、どの試験もデモ問題が用意されています。
デモ問題の問題文は以下で公開されており、購入した場合は45分間で3問のデモ問題を実際の試験環境と同じインタフェースで解くことができます。
デモ問題は39ドルと安く、一度は購入してみても良いとは思いますが、実際の試験と全く同じ環境かどうかは不明(問題によっても異なる)ですし、個人的には買うとしても1回で十分かなと思います。
primary fit courseに対応する資格の取得
Applied Knowledge Certificationは通常の受験料が$1299です。ただし、primary fit courseに対応する資格を持っている場合は399ドルになります。
例えばGX-IHならGCIH、GX-CSならGSECです。
もし取得していないならprimary fit courseに対応する資格を最初に取得すべきでしょう。実際のところ、GCIHが取れないレベルではGX-IHの突破はほぼ不可能と言わざるを得ません。他のApplied Knowledge Certificationでも同様です。また、そもそもGSEやGSPを目指すための資格ですので取得する価値もないと思います。
試験当日のコツ
時間管理
前提として、すべての問題に正解しなくても合格は可能です。経験則では6割程度の正解が合格ラインと推測されるため、25問中15問の正解が必須と考えられます。逆に言えば、15問を確実に正解できるなら10問は捨てても良いことになります。少し余裕を見て、20問の正答を目指すことを目標にするとよいと思います。そのように考えると、4時間で20問、1問あたり12分使える計算になります。これで少し余裕が生まれるのではないでしょうか?
その上で私がとった戦略が以下のとおりです。
- 1問あたり10分を目安に解答する
こうすることで残り時間を10分単位で使えば良くなり、パッと見て時間があるかどうかわかりやすくなります。 - 解けそうな問題かどうかは3分以内に判断する
中には全く手が出ない問題もあると思います。全く知識・経験がない問題は20問の正答を目指すなら5問までは捨ててよいことになりますので、できるだけ早めに諦めましょう。 - 解けそうだがなかなか解けない問題は10分以内にスキップを選択する
ある程度アプローチがわかっているが、まだ解けてない問題は一旦スキップしておくのも手です。10問まではスキップが可能ですので、解けそうだがすぐに解けない、うまくいかない場合は一旦スキップしましょう。
試行錯誤の方法
Applied Knowledge Certificationは資格試験ですがややCTFっぽさもあります。要するに正答となるフラグ(これはハッシュ値だったり文字列だったり様々)を見つけることですので、CTF的なアプローチも有効です。
- 使えるツールはフル活用
解答するためのVMには様々なツールがインストールされています。問題によってVMが変わる場合がありますので、一見どうすればよいかわからない場合はツールがインストールされていないか確認してみましょう。複数のツールを組み合わせる場合もあります。
また、ヘルプやmanコマンドでオプションを確認すると、意外なオプションが使えることもあるかもしれません。 - 選択肢の情報も活用
Applied Knowledge Certificationの解答方法は、10択ほどの選択式か記述式です。
記述問題はどうしようもありませんが、選択式であればどれかが正解なので、選択肢の文字列でとりあえず検索してみるといったアプローチが取れる可能性があります。 - 問題文に指定されていない方法も検討
問題によっては「〇〇を使ってXXを確認する」のようにツールが指定されている場合がありますが、正解を導けるなら問題文に指定されているツール以外でも解答できるかもしれません。 - 挙動がおかしいと思ったらVMをリセットしてみる
問題によってはVMが正常に動かなくなる場合もあります。その場合はリセットしてみましょう。それでも正常ではなさそうな場合もあります。そういう場合は諦めましょう。
最後まであきらめない
- Applied Knowledge Certificationで最も重要なのは諦めないことです。全くアプローチがわからない問題以外はできる限り試行錯誤してみましょう。時間をかければ突破口が開けるかもしれません。
- 一方で、諦めるべき問題は素早く判断して諦めましょう。前文と矛盾していますが、諦めるべき問題は諦め、粘れる問題はできるだけ粘ることが重要です。