はじめに
GIAC Applied Knowledge Certificationは2023年から開始されたGIAC試験で、GSPやGSEを取得するために必要になる資格群です。
GCIH、GCFA、GPENなどの従来の資格はPractitioner Certificationと呼ばれます。すべて対応するトレーニングコースが提供されており、トレーニングコースを受講すれば容易に合格できるレベルになっています。基本的には4択問題で、一部の試験ではCyberLiveと呼ばれるハンズオンの問題が出題されます。
一方Applied Knowledge Certificationは、トレーニングコースを超える内容の問題が出題されます。試験は本記事執筆時点で6種類提供されており、共通して4時間で25問のCyberLive問題を解答します。
問題の難易度は高く、1問あたり10分未満しか使えないため、トレーニングコースを受講しただけで合格するのは難しくなっています。
Practitioner Certificationを3つ、Applied Knowledge Certificationを2つ取得するとGSP(GIAC Security Professional)に認定され、Practitioner Certificationを6つ、Applied Knowledge Certificationを4つ取得するとGSE(GIAC Security Expert)に認定されます。これらの認定されると、保持しているGIAC資格がすべて更新されるというメリットがあります。GIAC資格を多数保持している場合は取得するメリットがあると思います。一方で、2023年から開始された試験であり、市場認知度は低いです。GSEやGSPを目指さないのであれば無理に取得する必要はないと思います。
Applied Knowledge Certificationの概要
本記事執筆時点で、GX-CS、GX-IA、GX-IH、GX-FE、GX-FA、GX-PTの6つが提供されています。私はこのうちGX-CS、GX-IA、GX-IH、GX-FEに合格しています。
以下は合格時に執筆した記事です。
前述のとおり共通して25問を4時間で解答します。このため1問あたり約9分で解答する必要がありますが、ほとんどの問題は9分以上かかってしまうレベルの問題です。
なお、合格点は非公開です。結果には点数のパーセンテージは表示されず、合否のみが表示されます。また、Practitioner Certificationと同様に分野ごとのおおよその正解率が星の数で示されます。ただ私が合格したGX-CS、GX-IA、GX-IH、GX-FEについては、60%程度で合格ラインに到達する可能性が高いです。各試験の星の数を前述した個別記事に記載していますので参考にしてください。
また合格すると、GIAC Advisory Boardに招待されます。Practitioner Certificationの場合、90%以上得点する必要がありますが、Applied Knowledge Certificationでは合格のみが条件です。
試験前の準備
前提としてApplied Knowledge Certificationは知識より経験が求められる試験です。付け焼き刃的に事前に学習したとしてもそれほど合格確率を上げることはできないと思います。
事前学習
Applied Knowledge Certificationにはprimary fit courseが存在します。これは各試験の公式ページで確認できます。例えばGX-IHであればSEC504です。これはSEC504の内容に近い問題が出ますよという意味ですが、あくまで近い内容であって、コース教材のラボより基本的に難しい問題が出ます。試験対策として、primary fit courseのコース教材が手元にあるならラボを中心に復習しておくことを強く推奨します。そして必要になりそうなコマンド、ツールは慣れておくとともに、必要であればチートシートを自作しておくことも有効です。
一方で、明らかにprimary fit courseの内容ではない問題も出題されます。公式ページに記載があるコースの教材が手元にあるなら一通り確認しておいた方が良いでしょう。
デモ問題
どの試験もデモ問題が用意されています。これは模擬試験ではありません。デモ問題の問題文は以下で公開されており、購入した場合は45分間で3問のデモ問題を実際の試験環境と同じインタフェースで解くことができます。
デモ問題は39ドルと安く、一度は購入してみても良いとは思いますが、実際の試験と全く同じ環境かどうかは不明(実際の試験では問題によって環境が変わる場合もある)ですし、個人的には買うとしても1回で十分かなと思います。
primary fit courseに対応する資格の取得
Applied Knowledge Certificationは通常の受験料が$1299です。ただし、primary fit courseに対応する資格を持っている場合は399ドルになります。
例えばGX-IAならGCIA、GX-CSならGSECです。
もし取得していないならprimary fit courseに対応する資格を最初に取得すべきでしょう。実際のところ、GCIHが取れないレベルではGX-IHの突破はほぼ不可能と言わざるを得ません。他のApplied Knowledge Certificationでも同様です。また、そもそもGSEやGSPを目指すための資格ですので取得する価値もないと思います。
試験当日のコツ
時間管理
前提として、すべての問題に正解しなくても合格は可能です。経験則では6割程度の正解が合格ラインと推測されるため、25問中15問の正解が必須と考えられます。逆に言えば、15問を確実に正解できるなら10問は捨てても良いことになります。少し余裕を見て、20問の正答を目指すことを目標にするとよいと思います。そのように考えると、4時間で20問、1問あたり12分使える計算になります。これで少し余裕が生まれるのではないでしょうか?
その上で私がとった戦略が以下のとおりです。
- 1問あたり10分を目安に解答する
こうすることで残り時間を10分単位で使えば良くなり、パッと見て時間があるかどうかわかりやすくなります。 - 解けそうな問題かどうかは3分以内に判断する
中には全く手が出ない問題もあると思います。全く知識・経験がない問題は20問の正答を目指すなら5問までは捨ててよいことになりますので、できるだけ早めに諦めましょう。 - 解けそうだがなかなか解けない問題は10分以内にスキップを選択する
ある程度アプローチがわかっているが、まだ解けてない問題は一旦スキップしておくのも手です。10問まではスキップが可能ですので、解けそうだがすぐに解けない、うまくいかない場合は一旦スキップしましょう。
試行錯誤の方法
Applied Knowledge Certificationは資格試験ですがややCTFっぽさもあります。要するに正答となるフラグ(これはハッシュ値だったり文字列だったり様々)を見つけることですので、CTF的なアプローチも有効です。
- 使えるツールはフル活用
解答するためのVMには様々なツールがインストールされています。問題によってVMが変わる場合がありますので、一見どうすればよいかわからない場合はツールがインストールされていないか確認してみましょう。複数のツールを組み合わせる場合もあります。
また、ヘルプやmanコマンドでオプションを確認すると、意外なオプションが使えることもあるかもしれません。 - 選択肢の情報も活用
Applied Knowledge Certificationの解答方法は、10択ほどの選択式か記述式です。
記述問題はどうしようもありませんが、選択式であればどれかが正解なので、選択肢の文字列でとりあえず検索してみるといったアプローチが取れる可能性があります。 - 問題文に指定されていない方法も検討
問題によっては「〇〇を使ってXXを確認する」のようにツールが指定されている場合がありますが、正解を導けるなら問題文に指定されているツール以外でも解答できるかもしれません。 - 挙動がおかしいと思ったらVMをリセットしてみる
問題によってはVMが正常に動かなくなる場合もあります。その場合はリセットしてみましょう。それでも正常ではなさそうな場合もあります。そういう場合は諦めましょう。
最後まであきらめない
- Applied Knowledge Certificationで最も重要なのは諦めないことです。全くアプローチがわからない問題以外はできる限り試行錯誤してみましょう。時間をかければ突破口が開けるかもしれません。
- 一方で、諦めるべき問題は素早く判断して諦めましょう。前文と矛盾していますが、諦めるべき問題は諦め、粘れる問題はできるだけ粘ることが重要です。
- 問題文を読み、最初に何をすべきかすらわからない問題は諦めるべき問題だと思います。そうではない問題であれば、試行錯誤してみる価値があると思います。試行錯誤のポイントとしては、不要な情報を削除してみる、別のツールを使ってみる、辞書を使うなら別の辞書で試してみるなどです。
GSE、GSP取得のメリット
最後に、Applied Knowledge Certificationの取得が条件になっているGSEやGSPを取得するメリットについて記載します。
最大のメリットは保持しているGIAC資格がすべて更新されることです。
より正確に記載すると、通常の更新ではなく、資格の有効期限が4年未満の場合は、GSEやGSPの有効期限に一致するようになります。
取得・更新後2年経過した直後に更新している資格がある場合は、有効期限が4年以上になっていると思います。この場合は有効期限は変わりません。(有効期限が短くなることはありません)
通常の更新ではないため、最新版のコース教材は提供されません。ただし、サポート窓口に連絡することで教材をもらうことができます。(印刷版テキストの提供のみ不可、PDFとVMを含む教材は提供される)
上記の有効期限延長およびコース教材の提供は無料(Applied Knowledge Certificationの受験および合格のみ)ですので、GIAC資格を多数保持している場合は、GSEやGSPを取得することで更新にかかるコストを大幅に下げることができます。
なお、GSEやGSPも4年ごとに更新が必要になりますが、更新方法については2025年に発表されるとのことで、現状では情報がありません。
その他、国内では数名しか保持者がおらず、海外を含めても認定者は400人以下と非常にレアな資格です。レアすぎて評価できる人が少ないのは欠点ですが、評価できる人がいれば、間違いなく高く評価してもらえるでしょう。