GCIHとは
GIAC試験の中でも特にインシデントハンドリングに注力した資格とされています。詳細については以下のリンクを参照してください。
なお、インシデントハンドリングに特化した問題は少なく、攻撃手法や検知手法に重点が置かれています。試験内容はインシデント対応の役には立ちますが、これからインシデント対応を始める方にとって必要十分な内容とは言えないかもしれません。もしかするとトレーニングの中では十分に説明されているのかもしれません。
GIAC試験の基本的な攻略法
GIACの試験は、通常はトレーニングを受け、テキストでしっかりと勉強して、インデックスを作り、模擬試験を2回受けて万全の準備をする必要があります。
周りを見ても、トレーニングなしで受験する人は聞いたことがありません。まあそれをやってしまったのですがw
基本的な攻略法は以下に記載しています。
トレーニングなしで受験した理由
トレーニングなしで受験した理由はトレーニングなしでも合格できそうに思えたからです。
試験範囲を見ると、Metasploitやパスワード、SMB、Webアプリへの攻撃、メモリダンプの解析など、これまで私が取得してきたGPEN、GWAPT、GCFA、GREMの範囲内のものが多いように思いました。
また、いずれも実務で経験しているものなので、これならいけるんじゃないかなと思い、受験を検討しました。
戦略
資格試験では準備が重要です。このことは以下の記事にも書いています。
しかし、トレーニングもテキストもないので、勉強する方法が事実上ありません。
とりあえず、トレーニングのアジェンダが参考になるだろうと考えました。幸い直近に日本で開催されるトレーニングがありましたので、以下のサイトでアジェンダを確認しました。ここに書いてあるツールは出題されるであろうと踏んで調べておきました。
https://www.sans-japan.jp/courses/sans_tokyo_winter_2022/sec504
ただ、この程度の下調べでは多少知識と経験があるとはいえ、本来5日間あるトレーニングの内容には及ばないことは明白です。このまま申し込んでも、全く歯が立たずに惨敗する結果になるかもしれません。試験に申し込むと949ドルかかります。運悪く円安であり、13万円ほどかかってしまいます。合格すれば会社負担になるものの、さすがにリスクが高いです。
そこで、最初に模擬試験を1回受けてみることにしました。模擬試験は199ドルで、円安でもギリギリ自腹を切れる範囲です。これで全然ダメだったら受験を諦め、合格ラインであれば受験するという戦略を立てました。
模擬試験1回目では、過去に作成したGPEN、GWAPTのインデックスを参照しながら解答しました。結果としてほぼインデックスは不要で、75%で合格でした。これならいけると判断し、即日申し込みを終えました。また、模擬試験中に出てきた知らない単語はメモしておき、後から調べました。
試験を申し込むと無料で2回の模擬試験が付与されます。これも有効活用しました。2回目の模擬試験では82%、3回目では93%でした。3回目となると、ほとんどの問題が以前出題されたものと同じでしたので、3回目はあまり意味はなかったのかもしれません。
試験当日
いつものとおり、しっかりと睡眠、朝食をとり、PCの前に座ったら10秒瞑想した後で開始しました。
普段は新宿のテストセンターですが、今回は渋谷のテストセンターで受験しました。渋谷のテストセンターは、新宿と比べると狭く、若干騒音が気になりますが、受験する上で特に支障は感じませんでした。
過去のGIAC試験と異なるのは、持ち込み資料のチェック時に数枚の紙と英和辞書だけを持ち込んだので、受付の方に驚かれたくらいです。
内容については言及できませんが、攻撃手法、防御手法ともに出題されるため、範囲は非常に広いです。ただし、広い分深堀りした出題はなかったように思いました。
本番は模擬試験以上に難しく、加えてテキストがないことから自信がない問題がいつも以上に多かったです。2択までは絞れたが、2択から選ぶのが難しいという問題(ただし、これは良問であるともいえます)が体感で20問くらいありました。また、模試ではあまり得点できなかったクラウドの問題はいったんスキップしつつも、最後までヒントが得られなかった場合は潔く捨てました。
合計すると、95問の選択式問題のうち、20問程度は自信なし、10問程度はわからなかったので捨て問となりました。CyberLiveについては、模試で対策ができており、全問正解の自信がありました。
最後の解答ボタンを押す際には、正直落ちたかもしれないと思いましたが、結果的には84%で合格でした(合格ラインは70%)
私のようにペネトレーションテスト、フォレンジック両方やっている人であれば、トレーニングなしでも合格できるかもしれません。
また、今回はトレーニングなしで受験しましたが、ぜひトレーニングを受けたいとも思いました。模擬試験と本番の試験で出てきたキーワードの中には意外と知らないツールや概念があり、実務に役に立つ情報がたくさん得られそうです。
所感
こんな記事を書いておいてなんですが、正直トレーニングなしで受験すべきではないと思います。試験に合格するだけなら十分な実務経験があれば可能と思います。ただ、おそらく試験で出題されていないツールや概念がたくさんあると思いますので、きちんとそれらを理解した方が良いですし、私もそうしたいと思いました。
次の目標
これでGIACはGCFA, GREM, GNFA, GPEN, GWAPT, GCIHの6つになりました。あと4つで二桁になります。
ただ、そろそろLPIC3を更新しないといけないので、次は一旦LPIC303でも受けようかなぁと思います。
その後テキストを入手しての感想
その後、GSP取得によりSEC504のテキストを入手できました。
ざっと一読しましたが、SEC504のコースは大変よくできています。これは経験豊富な人でも一読すべき内容と思いますので、トレーニングを受けられる方は受け、受けられない方はGCIH取得後に更新してテキストを入手しましょう。
また、book5の最後にはGIAC試験に合格するためのTipsも記載されています。
テキストの内容であるためここには書けませんが、GCIHやその他のGIAC試験で非常に有効かと思います。
FOR572にも類似の記載があり、公開されているブログの紹介がありましたので、ここではそちらの紹介をします。