はじめに
GBFAとは、GIAC試験の1つで、正式名称は「GIAC Battlefield Forensics and Acquisition」です。
Battlefieldとありますが、別に戦争をやるわけではありません。サイバー戦争に関して出題されることもありません。
正式な試験範囲は以下をご参照ください。
概ねフォレンジックの保全に関する分野からの出題です。
ディスク、メモリ、ネットワークそれぞれの主に保全方法、手順、ツールに関する出題です。これらに加えてNTFSやFAT等のファイルシステム、ファイルヘッダ、ファイルの復元も出題範囲です。アーティファクトについては少しだけ出題されますが、普段からフォレンジックをやっていれば十分解答できる範囲です。
本記事執筆時点で、試験は2時間で75問出題されます。69%が合格ラインです。
勉強法
トレーニングを受けていない私の勉強法は2回の模擬試験を受験し、間違えた問題を徹底的に復習することだけです。間違えた問題については、正解以外の選択肢に含まれるワードまで調べて持ち込み用のシートに記録しておきました。
それ以外に特別なことは何もしていません。
GIACが初めての方向けの勉強法
GIACが初めてという方は、以下を参考にしてみてください。ポイントは持ち込むための資料作りです。
準備から本番まで全部以下のとおりです。
感想
問題は全体的に難しくはないと感じました。数年程度フォレンジックの経験があればトレーニングなしでも合格できるレベルかなと思います。合格ラインが69%と若干低めなので、Windows、Linuxのフォレンジック経験が十分にあれば合格できる可能性はあると思います。ただしMacに関しても出題される点にはご注意ください。
なお模擬試験は2回とも8割とれていましたが、本番は74%でした。
何問か問題文を精読せずに解答してしまったので、誤答が増えてしまったのだと思います。最後までしっかりと解答することは改めて重要だと思いました。
模擬試験と本番で問題の難易度に大きな差はなかったと思いますので、問題が難しかったために点数が落ちたということではないと思います。