GIAC(Global Information Assurance Certification)とは
GIACは、国際的に有名な情報セキュリティ分野の教育機関であるSANS Instituteが発行している情報セキュリティ資格の総称です。資格保有者はSANSの公式サイト上で合格者一覧として氏名が掲示されます。
GIACと他資格との大きな違いはPC操作を伴うハンズオンの多さにあり、試験でも実機操作の伴う問題が出題されます。本を読んだだけでは合格するのが難しい資格といえます。このため、特に海外では、実用的なスキルを持っているという証明として役立ちます。
かつ、GIAC認定は4年で期限切れします。継続にはトレーニングの受講や試験の再受講が必要となっており、資格取得後も継続的な学習が必要です。だからこそ、海外において実用スキルの証明として役立っているのでしょう。
各GIAC資格には紐づくトレーニングが提供されています。ただし、トレーニングを受けていなくても資格認定の受験が可能です。
GCFA(GIAC Certified Forensic Analyst)とは
GCFAは、GIACのうちFOR508トレーニングと紐づく、デジタルフォレンジックの能力保持を証明する資格です。
具体的には、ネットワークに侵入してきた攻撃者の侵入手段の特定、侵入されたホストの特定、改竄/窃取されたデータの特定、インシデント発生後の対応戦略、等に関わる知識と関連するツールを操作できるハンズオンスキルの保有を証明するものとなります。
資格取得には、3時間で82-115問の問題を解き、72%以上のスコアを取得する必要があります。(2021年5月時点)
効率的な勉強法
限られた学習リソース
2021年5月現在、日本語で一般販売されている民間の参考書は存在していません。
必要となる学習領域は公式サイトに明記されていますが、このレベルの情報では具体的な学習方法を固めるのには厳しく、実質的にはトレーニングの受講、あるいは、受講者から学習領域を詳細に聞く以外に学習範囲を定める方法はないと考えていいでしょう。
私はフォレンジックは門外漢ですが、トレーニングを受講+40時間程度の自己学習で合格することができました。
効率的な学習法
テキストの通読
GCFAに限らず、GIAC試験はトレーニングテキストに記載されている内容が試験範囲と考えて間違いありません。トレーニング中では、スライド部のみを説明しますが、試験ではノート部から細かいレベルの知識が問われます。
ただし、GIACはオープンブックポリシーのために、テキストやノートの持ち込みが可能です。細かいレベルの知識をすべて暗記する必要はありません。
個人的なオススメは、下記の流れで知識を整理することです。
| 周回 | 取り組み方 |
|---|---|
| 1週目(トレーニング受講時) |
全体の流れを理解する。 メモリ解析やWindowsイベントログ等 様々なサブトピックを扱っているが、メインはフォレンジックで一貫。 各サブトピックの位置づけを体系的に理解する。 この時点ではスライドのみの通読でいい。 |
| 2週目 | ノートに記載されている事項を一通り読む。 1週目で理解した全体の流れの中で、どこの話をしているかを常に意識する。 ノート記載内容とサブトピックの紐づけを理解する。(=どこに何が書いてあるか) |
| 3週目 | サブトピックの切れ目に付箋を貼るなど、 体系的に整理した知識をアウトプットしながら再整理する。 トピックとツールの紐づけに関しては、インデックスを作っておくのも手。 特にメモリ解析(Volatilityツール)については各コマンドの意味と文脈を理解。 |
Practice Testの受講
受験を申し込んだ人は、2回の模試が無料で受講できます。ただし、受講が終わった後に再度問題を見直すことはできないので注意が必要です。後々見返すことができるのは、サマリスコアのみです。
また、模試受講の際には画面右上にあるオプションを変更しましょう。デフォルトでは誤答の場合のみ正解解説が表示*されます。設定変更で、解答後は常に解説を表示するように変更可能です。
ただし解説を読んでいる間も模試の時間は過ぎていくので、模試は本番以上に時間がタイトです。特に、後半に数問ハンズオンが入りますので、これらのために時間をある程度温存しておいたほうがいいです。ハンズオンに関しては、1問5分程度残しておいたほうが無難でしょう。
個人的には、通読2週目の後に1回目のテスト、通読3週目以降に2回目のテストを実施することをお勧めします。
あまり知識がない状態で受講しても、後々振り返ることができませんので、知識が体系化され、間違えたときにどの分野を勉強すればいいか判断できるタイミングで模試を受けることが効果的です。
PracticeTestの問題の答えも、必ずテキストのどこかに記載されています。まったく見覚えがない問題が出た場合には、ノート記載内容の理解が甘い、ということが想定されます。見覚えがない問題の比率が高いようであれば、再度ノートの見直し/精読をするといいでしょう。
試験当日
テキスト、英和辞書に加えて、SANSのポスタWindows Forensic AnalysisとHunt Evilはぜひ持ち込みましょう。SANS公式で知識を体系化してくれており、非常に有用です。A3サイズ以上で印刷することをお勧めします。
また、解答の際、少しでも悩むのであれば、しっかりテキストで該当する個所を確認したうえで回答するようにしましょう。100問程度の試験で1問間違えるのは大きな痛手です。
時間がかかるようであれば、遠慮なくスキップして、後から再度見直しましょう。GIACは一度解答した答えを変更することができません。問題を解いていて、後から正解は別だった、と気づくこともあります。自信がなく、すぐにテキストの該当箇所が見つからなければ、スキップ、がお勧めです。
3時間は長丁場です。休憩時間もうまく活用しましょう、ただし、スキップした問題がある状態で休憩は取れないようになっているので、休憩は計画的に。。。(私自身はトイレに行きたくなってからスキップ問題に着手したので大変に焦りました汗
まとめ
- GIACは国際的に有名なセキュリティ資格。実用スキルの保有を証明
- GCFAはGIACの中でもデジタルフォレンジック分野のスキル保有を証明する資格
- 勉強はFOR508トレーニング受講+独学がお勧め
- 勉強の流れは下記
- 通読1週目 or トレーニング:全体の流れを理解
- 通読2週目:細かいノートレベルの記述と全体の流れの結びつきを理解
- PracticeTest1回目:見覚えのない問題が多ければ再度ノートの精読へ
- 通読3週目:付箋をつけるなど、体系化した知識をアウトプットしながら理解を深める
- PracticeTest2回目:間違えた分野がどのあたりか、を整理
- 総復習:PracticeTest2回目で苦手だった分野を中心に最後の整理
- 試験当日はテキスト+辞書+SANSポスターを持ち込み
- わからない問題はスキップで後回し。可能な限りテキストで該当箇所を確認しながら解答。