10
Help us understand the problem. What are the problem?

More than 3 years have passed since last update.

posted at

updated at

CEH(Certified Ethical Hacker)について、なるべく丁寧に説明する その2(試験について)

CEHの試験について記載していきます。
まず、私が受験までに行った勉強について記載していきます。

スケジュール

CEHの研修を受けた後から、試験までに私が勉強したスケジュールはこんな感じです。

・研修後3~3.5ヶ月
 全く何もせず。テキストも開かず。仕事に追われていました。

・研修後3.5ヶ月~4ヶ月
 テキストを開き週末は3~4時間程度勉強。でも頭にあんまり入っていない。
 そしてテキストの内容のかなりを忘れていることにヘコむ。

・4ヶ月~5ヶ月
 平日も勉強し始める。後述するPractice Testsでの学習を始めるもわからずヘコむ。

・5ヶ月~6ヶ月
 1日3h程度は勉強する。Practice Testsを2週ほどするも、あんまり実力が付いた気がせず焦る。

・6ヶ月~7ヶ月
 CEHの勉強会を発見する。そして後述するwebの問題集サイトに出会う。
 Web問題集をメチャクチャやり始める。1日6~8h勉強する。

・7ヶ月目の終わり
 試験受験。無事合格

おおよそ、研修受講から7カ月ほどで合格。
ただ、実質の勉強期間はその半分くらいとなりました。
正直、研修を受けてから短期集中してやれば、もっと短い期間で合格できたのではないかと思います。

試験勉強で取り組んだもの

・勉強サイト
 Online Practice Exam
以下、サイトの特徴を記載
・問題がv9とv8に分かれている。両方解いた方が良い。v9だけだとボリュームが少ない。
・問題数も10,25,50,125と選べる。実際の試験は125問なので、試験と同じように問題を解くことができる
・全問解いたら正答率が表示される
・回答は4択や複数選択あり
・極稀に記載されているが基本的に解説は記載されていない
・一部問題の記述や選択肢の内容、正解に誤りがあった
 そのため、回答に納得できない場合は、問題文をコピってググると同じ問題が見つかることがあるので、それを見て考える
・スマホでもできるが、英語が読めないので、翻訳にぶっこむ必要があり、基本PCでやっていた。
 英語ができるなら、ぜひ通勤時間中の勉強にもおすすめしたい

私の場合、間違えた問題、分からなかった問題は、
ネットで調べ、何故その答えが導き出せたのか、そこで使われている技術はなんなのか洗い出し、理解する、ということを繰り返していました。

参考書籍

・研修で使用したテキスト
問題を解いていて、分からない部分や、CEH的にどう解釈しているかを確認するために使用しました。
テキストを暗記はしていません。
というか、できなかった。分厚くてムリです。

Practice Tests
私は、勉強当初これを購入して解いていたのですが、正直クソである。
理由は以下3点
 ・CEHの試験に出されないような問題文が数多くある。
  これだけやって試験に受けると、出し方が違いすぎてかなり混乱すると思われる。
 ・本であるのに回答が間違っている。若干の解説もついているのだが、意味不明なものもあり、役に立たないし混乱する。
 ・すべて英語で書かれているため、英語ができない人は自炊が必要、自炊した上で上記の問題があるなんてたまったもんじゃない。
ということで、おすすめしません。
それだったら、前述したオンラインの問題をひたすら解いた方がよいです。

他、試験時に取り組んでいないが参考となりそうな書籍

CEHを勉強する上で、読んでおくと知識の足しに使える書籍を下記に挙げます。

セキュリティエンジニアの教科書

暗号技術入門

体系的に学ぶ 安全なWebアプリケーションの作り方

サイバー攻撃 ネット世界の裏側で起きていること

パケットキャプチャの教科書 (Informatics&IDEA)

マスタリングTCP/IP 情報セキュリティ編

文部科学省 情報セキュリティ基礎

なお、これら知識をすでに有している場合、CEHの考え方をテキストやOnline Practice Examで学習すると良いと思います。

また、CEHの試験対策本は、日本語で出版されているものはありません。
従って、上記のような各技術の解説本などを読み漁り、知識を増やしていく必要があります。
そういう点では、CISSPの一部も参考になると思います。

もちろん、参考として挙げているため、すべて読み込めば合格できる、という保証はありません。

試験について

・受験申込
私の場合、GSXで研修を受けたので、GSXで試験を申し込みました。
受験日は月によるようだが、基本月1回、受験者が多いと月2回となることもあるようです。

・試験前の実施事項
これは、GSXで研修を受けていたからなのかもしれないので、個人受験する方は対応が必要ないかもしれません。

試験1週間前だか、試験月の月初だったかあやふやですが、GSXより受験票と、試験を受ける際の試験ポータルサイトへの登録に関する案内が届きます。
なお、バウチャーは当日渡しです。

・試験当日
試験会場は研修を受けたGSXにて、実施した。当日はほぼ満席で20~30名ほどいました。
CEHだけでなく、CND(Certified Network Defender)の試験も同時開催のようです。
よく試験センターなどである手荷物をロッカーへ、携帯も時計も全部持ち込み禁止!みたいなことはなかった。普通に机横にカバンを閉じて置いておけばOK。
着席後、席に設置されているPCからバウチャーが配られ入力。入力後、試験監督の人が別途ID/PASS(不正受験防止用と思われる)を入力してもらい、試験開始です。
上記のやり方で試験を開始するので、講師席に近い人から順に初めていきました。

従って、開始時間がバラバラのため、多少遅刻しても問題はないと思われます。

ちなみに、試験中はトイレで離席可能。
耳栓もOKでした。
ただし、テキストや参考書籍はすべてカバンに仕舞います。

また、私は日本語で受けたが、問題文や回答は英語の直訳がいくつか見受けられました。
単語などは一部英語で覚えていることもあり、それが直訳されているので一瞬混乱しました。
まあ、海外のベンダー試験を受けたことがあるなら、それと同じ感覚といえば伝わると思う。Cisoc語である。

・結果表示
WEB試験方式のため、試験終了した瞬間、合否が表示されます。
「PASS」なら合格!

CEHの難易度 勉強方法

CEHの難易度としては、情報が少ない分、
情報処理安全確保支援士より難しいと思われます。

また、単純に暗記だけでは答えられないような問題、CEHの考え方で答えなければいけない問題があります。
要は、各担当者(攻撃者やペネトレーションテスターなど)の立場で、どう行動するか、といった問題もあるため、攻撃のプロセスや防御手法について、暗記ではなく、正しく理解することが必要です。
特に、攻撃のプロセスのつながりなどは正しく理解した方が良いです。

従って、基礎知識を上記した書籍などで理解し、CEHの考え方はテキストで学習、Online Practice Examで問題を解くことで理解を深めていくのが合格への近道ではないかと考えます。

最後に

この記事が少しでも参考になれば幸いですが、
難易度が高い試験なので、準備はしっかり行ってから受験してください。

なお、以下のリンクでは、
CEHとはどういった資格か? 将来性や受験要綱などを解説しています。
 ⇒CEH(Certified Ethical Hacker)について、なるべく丁寧に説明する その1

Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Sign upLogin
10
Help us understand the problem. What are the problem?