はじめに
GNFA(GIAC Network Forensic Analyst)は、ネットワークフォレンジックの資格です。
この資格について日本語で書かれた記事は少ないので、私が受験した際の勉強法について記載します。
GNFAについて
GREMは50問出題され、制限時間は2時間です。ほとんどの問題は4択です。
合格ラインは70%の正答率です。
ただし、受験後に公式サイトを確認したところ、50 - 66問、2~3時間、実技試験ありの試験に変わっていました。
これから受験する方はご注意ください。
また、(私が受験した際は)休憩は2回取れますが、2回合わせて15分です。15分の休憩が2回ではありませんので注意してください。
試験の内容は以下と公式サイトに記載されています。
Common Network Protocols
Encryption and Encoding
NetFlow Analysis and Attack Visualization
Network Analysis Tool and Usage
Network Architecture
Network Protocol Reverse Engineering
Open Source Network Security Proxies
Security Event and Incident Logging
Wireless Network Analysis
また、GCFA、GREMと同様、紙媒体の資料は持ち込みが可能です。自分なりのメモ、カンニングペーパーを作って持ち込みましょう。
事前知識
私は各種プロトコルに関する知識や、Squid、各種ログについては実務経験がありましたが、ワイヤレスネットワークフォレンジックや出題範囲に含まれるツールについての知識はあまり深くありませんでした。脆弱性診断やペネトレーションテストでよくでてくるHTTP等のプロトコルの知識はかなり役に立ちましたし、フォレンジック調査でよく目にするWebサーバのアクセスログの調査手法も役に立ちました。
勉強方法
まず最初にトレーニングの録画ビデオ(オンライントレーニングだったため録画が見られた)をすべて見直し、実際に手を動かして演習を行いました。
一通りの録画ビデオを確認し、演習もこなした後、1回目の模擬試験を受験しました。この時点で74%の正答率だったので、手ごたえは十分でした。
誤答が多かった分野を再度復習し、2回目の模擬試験を受験しました。この時点で82%正答できていました。
これで十分準備が整ったと判断し、簡単に復習した後、本番の試験に挑みました。
ただし、結果としてギリギリ合格でしたので、8割を超えていたからといって油断できないと感じました。
英語について
GIACの試験はすべて英語で行われ、翻訳ツールは紙の辞書や持ち込んだメモ以外は使うことができません。
模擬試験に比べると本番の試験の方が英語は理解しやすかったです。模擬試験の方が知らない単語が多い印象がありました。
持ち込んだメモにテキストや模擬試験に出てきた知らない英単語の和訳を書いて持ち込むと良いです。
非常に重要な点として、試験問題に回答することが目的であり、和訳が目的ではありません。なんとなく問題や選択肢が理解できたのであれば、それでOKとすべきです。7割くらいの理解度であっても、最も正しいと思われる選択肢を選んで先に進んだほうが良いでしょう。
これから受験する人へのアドバイス
これから受験する方は、私が受験した時とは問題数、制限時間が異なりますが、私が受験した時点では時間的な余裕があり、残り20分ほど余裕をもって終了できました。実技試験ありになるともう少し時間的に厳しくなると思います。
特に、各種ツールの出力と、WireSharkやtcpdump等のフィルタについて正しく理解しておく必要があると思います。これらは実際に手を動かしておくと良いです。
また、全体として判断問題が多いと感じました。このような問題は持ち込んだメモだけでは回答が難しいように思いました。これも実際に手を動かすことで正答率が上がるものと思います。
一方で、GCFAやGREMと異なり、ある程度経験がないと回答が難しいと思われる問題も見られました。ただ、こういった問題でも、二択までは容易に絞れるので、正答率を上げることは可能だと思われます。
なお、最終的なスコアは70%でギリギリでした。
次の目標
CISA
CISM
LPIC 300(更新目的)
AWSの資格
を検討中です。