はじめに
2024年7月16日に、グローバルセキュリティエキスパート株式会社(GSX) の SecuriST 認定ネットワーク脆弱性診断士試験に合格しました。どういう問題が出るのか、どう対策すればよいのか、とにもかくにも情報が少ない試験で困ったので、今後受ける予定のある方に向けて合格体験記を書きます。
筆者のプロフィール
- 社会人5年目27歳
- ユーザー企業のセキュリティ部門に所属
- 脆弱性診断業務に携わって2年目
- といっても手を動かしているのではなく業者に委託した診断結果を評価する仕事
- ツール診断をかけるところを見学したことがある程度
- これまでに合格した当試験に関連する試験
- 情報処理安全確保支援士試験
- ネットワークスペシャリスト試験
- LinuCレベル1
受験したきっかけ
一年前に会社のお金で公式トレーニングを受講しましたが、試験のバウチャーを使っておらず、バウチャーの期限ギリギリに気づいて腹を括りました。
学習期間
一ヶ月間、やったりやらなかったりでのんびり学習しました。途中仕事が忙しくなったり、長期の旅行に行ったりしたので、がっつり時間を取ることはありませんでした。
やったこと
まずは公式トレーニングのパワポを最初から最後まで見返しました。一年前に受けた研修だったのでほとんど覚えていませんでした。研修のときに貸与された環境はもう使えないため、動きを確認できないツールもありましたが、気にせず進めました。たまたまKali Linuxの仮想環境が自分のPCの中に入っていたので、たまに使えるツールもありました。ちなみにkali Linuxの環境構築はこちらの本を参考にやりました。(まだ環境構築のみで読了していませんw)
次に公式の試験範囲である脆弱性診断士(プラットフォーム)スキルマップ&シラバスに書いてある用語を上から下まで全てチェックしました。いまいち自分の言葉で説明できない用語はマスタリングTCP/IP―入門編―と情報処理安全確保支援士重点対策で確認し、本に載っていないことはネットで調べてノートにまとめました。「よく使われるサービス」はzennスクラップにまとめたのでぜひ参考にしてください。他の分野も全体的にこの粒度で勉強しました。
結果
76.6%で合格でした!7割以上なので結構ギリギリですね。(「関連法令」の正答率が0%なのは見逃してください汗)
所感
ギリギリで合格しておいてなんですが、思っていたより簡単でした。過去問などの情報がなかったことと、「脆弱性診断士(プラットフォーム)スキルマップ&シラバス」が手を動かして診断をした経験なしにはわからないような内容も多かったことで、受験前はかなりハードルが高く感じていたためです。
しかし蓋を開けてみると、重箱の角を突くような問題は出ず、問題自体はかなり素直なものでした。その場で考えさせる問題も少なく、知っていれば解ける、知らなければ解けないという感じです。情報処理安全確保支援士試験で勉強した内容と、まがりなりにも脆弱性診断に仕事で関わっている経験に助けられました。勉強の粒度は私のzennスクラップ程度で十分でした。
試験時間もゆっくりやって一周目は25分、2・3周目は残り13分で終わったので、余裕がありました。ただ、「でないものを選べ」「複数選べ」「n個選べ」など、引っかかりそうな設問が多いので、注意が必要です!よく見直しましょう。
おわりに
最後まで読んでいただきありがとうございました。試験頑張ってください!
私は9月に認定Webアプリケーション脆弱性診断士のトレーニングを受けさせてもらう予定なので、また近々試験を受けるでしょう!Coming soon...