私事ですが、1月中旬に、EC-Council認定の「Certified Ethical Hacker (CEH)」資格試験(バージョン13の日本語版)において 125点中119点(得点率95%) という高得点で合格しました。
これからセキュリティ分野を志す初心者の方々にとって、私の経験が合格への灯台・道しるべとなれば幸いです。この記事では、使用した教材や勉強法、受験までのプロセス、試験当日の様子、そしてCEH v13試験の特徴や攻略ポイントについて、体験談を交えながらわかりやすくまとめていきます。
CEHとは? v13試験の概要と特徴
Certified Ethical Hacker (CEH)は、EC-Councilが主催する国際的なセキュリティ資格で、日本語では「認定ホワイトハッカー」とも呼ばれます。 サイバー攻撃者と同じ視点・手法を理解することで、組織の防御力強化に役立てることを目的とした資格です。私が受験したのはCEH v13の日本語版です。最新版はv13となっておりAIなど新しい論点が追加されたようです。
従来のv11、v12から内容自体は20のコアモジュール(出題範囲)はほぼ共通していますが、新たなトピックや学習プログラムが追加されています。まずは試験制度とv13の特徴について解説します。
CEH試験制度と受験要件
CEHは筆記試験(知識試験)と実技試験(CEH Practical)の2つから構成されます。 筆記試験に合格すると「CEH」資格が得られ、さらに実技試験にも合格すると上位資格の「CEH Master」が授与されます。私が受験・合格したのは筆記試験(CEH v13、日本語版)です。
受験資格
CEH受験には事前にEC-Councilから受験コードを取得する必要があります。取得方法は2通りあり、(1) EC-Council公式の認定トレーニングコースを修了する、または (2) 情報セキュリティ分野で2年以上の実務経験を証明して申請する、のいずれかです。公式トレーニング受講者には修了時に受験コード(Exam Eligibility Code)が発行されます。一方、独学で受験する場合は実務経験などをEC-Councilに申請してコードを得る必要があります。
※新人の方は実務経験での受験ハードルが高いため、基本的には高額でも公式講座の受講が近道になります。
受講費用
公式トレーニングは受講料が60万円〜70万円程度と高価です(例:ある提供元では5日間コースが約65万円)。一般的に企業では20万円以上の研修費は稟議(上長承認)が必要になるケースが多く、私の場合も社内で承認を得るのに時間を要しました(詳しくは後述します)。なお試験のみ受験する場合でも、受験バウチャー代が約10万円〜15万円程度かかります。会社負担か自費か、早めに計画を立てて準備しましょう。
試験概要
CEH筆記試験は選択式問題125問からなり、試験時間は4時間です。問題は4択の単一正解式で、筆記用具やメモの持ち込みは禁止されています。私が受けた日本語版では、試験中に英語表示へ切り替えることは不可でした(問題・選択肢とも日本語翻訳された状態で固定)。合格基準は非公開ですが、一般に正答率およそ70%前後と言われています。実際、複数の合格者体験談でも「7割程度正解で合格」との報告が多く、私が参照したある公式模擬試験資料でも「合格ラインはフォームによって65〜85%と変動する」と記載されていました。安全圏は7割超と考えておくと良いでしょう。
出題範囲
出題範囲は非常に広範です。ネットワークの基礎、フットプリンティング(情報収集)、脆弱性スキャン、システムハッキング、マルウェア、スニッフィング、ソーシャルエンジニアリング、DoS攻撃、セッションハイジャック、防御側技術(IDS/IPSやファイアウォール回避)、Webサーバ・Webアプリ攻撃、SQLインジェクション、無線LAN攻撃、モバイル端末攻撃、IoT/OT(制御システム)セキュリティ、クラウドセキュリティ、暗号/暗号解析など、全20モジュールにわたります。言い換えると、「攻撃者が取り得るあらゆる手法」について浅く広く問われる知識試験です。(実技試験ではこの知識を基に実際に攻撃を行うスキルを問われますが、筆記試験では理論知識のみが問われます)。
以下はCEH v13試験の概要を整理した表です:
| 項目 | 内容/補足 |
|---|---|
| 試験形式 | 筆記(選択式)試験、125問、四択単一解答式 |
| 試験時間 | 4時間(日本語版。※英語への切替不可) |
| 合格基準 | 約70%前後(非公開。フォームにより65〜85%程度と変動) |
| 受験言語 | 日本語または英語(日本では日本語試験を選択可能。ただし日本語試験は訳が難解な場合あり) |
| 受験要件 | 公式講座修了 または 情報セキュリティ実務2年以上 |
| 試験費用 | 約10万円〜15万円(試験バウチャーのみ)。公式講座受講の場合は受講料込みで60〜70万円規模 |
| 出題モジュール数 | 20(ネットワーク、システム、Web、無線、クラウド、IoT/OT、暗号 他広範) |
※参考:CEH筆記試験に加えて、実技試験(CEH Practical、20問/6時間のオンライン実技テスト)にも合格するとCEH Masterとなります。実技ではiLabsと呼ばれる仮想環境で実際にツールを操作して脆弱性を突く演習形式で、オープンブック可(資料やネット参照OK)ですが高度な実践力と時間管理が求められます。本記事では筆記試験中心の体験記としています。
CEH試験の難易度・合格率
CEHは「セキュリティ入門〜中級レベル」に位置づけられる資格と言われます。実務経験が浅い方でも挑戦できますが、その出題範囲の広さゆえに決して容易ではありません。公式には合格率の公表はありませんが、一般的に世界全体での平均合格率は60〜65%程度と言われています。つまり受験者の3〜4割は不合格になる難関試験ということです。
ただし、適切に準備すれば十分合格可能な試験でもあります。実際に公式トレーニング受講者や経験者はより高い合格率(70〜80%)に達するとも言われます。
難易度の体感としては、「問題文を読んで内容がイメージできるか」が鍵だと感じました。全問選択式で記述や計算問題は無く、一見すると容易そうですが、問われている内容を知らなければ全く手が出ません。逆に言えば、しっかりと知識を網羅していれば迷わず解答できる問題が多い印象です。
他のセキュリティ資格(例:ネットワークスペシャリストや情報セキュリティマネジメント試験等)に合格しているような人ならば、CEHの問題も一通り解くだけで合格点近くまでは届く素地があるかもしれません。とはいえ、普段意識しないような 「攻撃者目線」の知識(例:ある攻撃フェーズで使用するツール名やコマンドのスイッチなど)まで幅広く問われるため、未知の分野はしっかり勉強しておく必要があります。
私自身は結果的に95%という高スコアを取れましたが、それは試験によく出る論点を効率よく押さえたおかげだと思います。後述するように、出題傾向にマッチした教材選びと徹底した反復学習によって「知っている問題」だらけの状態に持ち込めたことが勝因でした。同時に、実務でのセキュリティ経験が浅い初心者にとっては、CEH合格自体がゴールではなくスタート地点であるとも痛感しました(詳細は記事末尾の所感・アドバイスにて触れます)。
合格までの道のり:学習計画と社内調整
使用した教材と学習法:Udemy講座+公式テキスト
CEH合格に向けて私が主に活用した教材は、 「UdemyのCEH模擬試験講座」と「CEH公式テキスト(一式)」 の2つです。
-
UdemyのCEH v12、v13の模擬試験講座
私はUdemy上のCEH模擬試験コースを複数購入し、繰り返し解きました。英語版の講座が中心でしたが、ブラウザの翻訳機能を活用して日本語で学習しました。複数の講座を比較すると、問題の傾向や形式に共通点が多く見られました。CEH試験はNDA(秘密保持契約)により具体的な問題内容の公開が禁止されているため、これらの模擬試験がどの程度実際の試験を反映しているかは明言できませんが、私の学習には非常に役立ちました。 -
公式テキスト(日本語版・英語版)
公式トレーニング受講時に配布された膨大な教材(A4サイズで2冊合計数百ページ)も手元にありました。ただし、私が受講した時はv12であり、試験はv13でした。v12の日本語の紙のテキストと、v13の英語の電子テキストを併用しました。模擬試験問題を解きながら、適宜テキストを辞書代わりに使う方法を取りました。また、章ごとにツールをピックアップし単語帳を作り暗記に役立てました。CEHは用語・ツール名の物量戦な面もあるため、効率よく要点を暗記することが高得点への近道だと感じました。 -
その他のリソース・情報収集
上記2つが学習の柱でしたが、必要に応じてウェブでの情報収集も行いました。特に他の方の合格体験記はモチベーションとヒントになります。Qiitaや技術ブログで「CEH 合格体験記」を検索すると多数ヒットします。それらを読み、共通して重要と言われるポイント(例:「知識問題なのでラボ演習より用語理解を優先」、「苦手分野を見極め重点学習せよ」等)を自分の勉強計画に取り入れました。特に 「攻撃の一連の流れを意識して学ぶと理解が深まる」 というアドバイスは、単なる単語丸暗記に陥らないためにも心に留めておきました。
学習スケジュールと時間確保の工夫
社会人が資格勉強時間を確保するのは容易ではありません。私の場合、当初2023年度に予算申請したものの翌年度に繰り越され、最終的に2025年1月に幸運にも余った予算を頂いて3月に受講できました。
ただし、CEH受講前後の期間にAWS認定試験を4つ受験する必要があり、さらに教員資格認定試験や展示会での講演準備なども重なりました。2月、3月は週末にプライベートのイベントが入っており、GW明けには教員資格認定試験の一次試験、6月には展示会での講演準備、9月には教員資格認定試験の二次試験など、土日も含めて予定が詰まっていました。結果として 2025 Japan All AWS Certifications Engineer に認定されたり、 高等学校教諭一種免許状(情報) を取得したりという大きな成果を得られた一方、CEHの学習は後回しになってしまいました。こうして、何もしないままにあっという間に12月になってしまいました。
- 逃げちゃダメだ
- 逃げちゃダメだ
- 逃げちゃダメだ
- 逃げちゃダメだ
- 逃げちゃダメだ
バウチャーの有効期限(1年間)が迫る中、本格的な学習を開始したのは12月に入ってからでした。
正月休みの一週間を完全に試験勉強に充て、通常の1ヶ月分に相当する学習時間を確保しました。
振り返ると、やはりポイントは 「学習に専念できる期間」をいかに確保するか だったと思います。私は結果的に年末年始の休暇を充てましたが、人によってはプロジェクトの谷間や有給休暇のまとめ取りなどが使えるかもしれません。忙しい社会人こそ、長めの休暇や余裕のある時期を計画的に活用することをおすすめします。
試験直前の過ごし方
試験前日は詰め込みすぎず早めに就寝しました。脳に情報を定着させるには睡眠が大事です。当日は試験開始の1時間前には会場近くに到着し、最後の確認用ノート(自作の単語帳リスト)に目を通して落ち着いてから会場入りしました。
また、受験票や本人確認書類(私はパスポートと運転免許証を持参)に不備がないか前日に再確認しました。特に受験票に記載の規定(持ち物や禁止事項)は熟読しておくと安心です。
試験当日の様子と受験体験
実際の試験当日の流れや試験会場での体験も、これから受験する方には気になる点かと思います。私が受験したときの様子をお伝えします。
持ち物と受付
指定された本人確認書類(パスポート+免許証の2点)を受付で提示し、チェックイン手続きを行いました。受付ではスマホの電源を切ってカバンに仕舞うよう指示され、電源OFF状態を目視で確認されました。腕をまくって腕時計をしていないこと、眼鏡を渡して電子機器が付いていないことを確認してもらいました。AWS認定試験などでは毎回行う写真撮影は今回は求められませんでした。
試験室への入室
ポケットの中身が空であることを確認され、ティッシュは必要分だけ入口で貰って手に持って入りました。その他全て持ち込みは禁止なのでロッカーに預けます。メモ用のシートとマジックを受け取り入室します。会場によりますが、私の会場では耳栓が各席に用意されており、必要に応じて使えるようになっていました。
試験開始
コンピュータにログインして試験を開始します。CEH筆記試験は125問すべて選択問題で、問題文と選択肢は日本語表示でした。全問が「知っているかどうか」を問う知識問題で、数字計算をするような問題や、自分の意見を記述する問題は皆無です。設問の難易度にはバラつきがあり、瞬時に答えがわかる基本問題もあれば、一見聞き覚えのない専門用語が出てきて悩む問題もありました。
試験時間配分
試験時間は4時間と非常に長く設定されています。しかし私は見直しまで含めて2時間弱で終了しました。全問題を一通り解き終わった段階では約90分経過しており、その後フラグを付けておいた問題を中心に見直しを実施しました。見直しで解答を修正した問題が2問あり、結果的にそれが正解だったので、時間に余裕があれば見直しは必ず行うべきだと痛感しました。
試験終了・退出
全問題回答し終えて終了ボタンを押すと、その場で合格か不合格かが表示されました。終了後、退室し、受付でスコアレポートを印刷してもらいました(119/125正答、95%でした)。ロッカーから荷物を受け取り、解放された気持ちで会場を後にしました。
なお、試験中の離席(トイレ休憩)は可能とのことでした。
受験を終えての率直な感想
試験を終えた率直な感想としては、「思ったよりも素直な問題が多かった」ということです。しっかり準備すれば高得点も狙える試験だと思います。
一方で、やはりセキュリティ初心者にとっては簡単ではないとも感じました。専門用語だらけの世界なので、全体像が掴めるまでは苦労するはずです。
試験問題について印象的だったのは、 「このツールは何に使う?」「この攻撃手法の説明として正しいものはどれ?」 といった基本を突くものが多かったことです。例えば、ある問題では実在するマルウェアの名前が選択肢に並び「○○は何のマルウェアか?」と問われました。知らなければ想像もつきませんが、幸い公式テキストの用語集に載っていたため答えられました。このように、基本用語集をしっかり暗記していたことが得点源になりました。
また、日本語試験特有の注意点も感じました。日本語訳が微妙で意味が取りづらい問題がいくつかあり、中には問題として成立していないように見えるものもありました。125問中3問ほど違和感のある問題に当たりましたが、配点への影響は軽微だったようです。
セキュリティ初心者へのアドバイスと今後に向けて
最後に、これからCEH受験に挑むセキュリティ初心者の方へ、私の経験からいくつかアドバイスをまとめます。
-
基礎ITスキルの下地を固めよう
CEHの学習に入る前に、ネットワークやOSの基本知識(CCNAや基本情報、Security+レベル)を一通りおさらいしておきましょう。TCP/IPやLinuxコマンドなどが土台となります。
-
出題範囲を俯瞰して学習計画を立てる
最初に公式のシラバスと照らし合わせて自分の弱点分野を洗い出し、メリハリをつけて勉強しましょう。攻撃のライフサイクル順(情報収集→侵入…)で学ぶと知識が繋がりやすいです。
-
良質な問題演習で弱点克服
テキストを読んだら必ず練習問題を解きましょう。知識試験であるCEHは問題演習との相性が抜群です。間違えた問題はチャンスと捉え、そのテーマを重点的に復習してください。
-
ツールや攻撃手法の名称は丸暗記も辞さず
ある程度の暗記は不可避です。「○○攻撃に用いるツール名は?」のような直接的な知識問題が多いため、試験直前期は重要用語の暗記に専念しましょう。
-
本番では時間に余裕あり!焦らず見直し
4時間と長丁場なので、余った時間で必ず見直しを行ってください。迷った問題にはフラグを付け、一通り解いた後に再確認する流れが効果的です。
-
資格取得後も学び続けよう
CEHは知識の第一歩です。実践スキルを磨きたいなら、CEH PracticalやOSCPなどへの挑戦も視野に入れると良いでしょう。サイバーセキュリティの世界は日進月歩であり、学びに終わりはありません。
まとめと今後の展望
以上、私のCEH v13合格体験をもとに、勉強法や受験プロセス、試験のポイントなどをお伝えしました。高得点合格の裏には、効率的な教材選びと計画的な学習、そして多少の執念があったことがお分かりいただけたかと思います。
CEHの学習を通じて得た攻撃者視点の知識は非常に貴重で、今後の業務やセキュリティ対応にも必ず役立つと感じています。
最後になりますが、この記事がセキュリティ初心者の方やこれからCEHを受験しようという方の参考になれば幸いです。高額な研修費や広範な学習範囲に尻込みしてしまうかもしれませんが、適切に準備すればCEH合格は十分手の届く目標です。
あなたのCEH合格を心から応援しています。頑張ってください!
ちなみに、v12の講座を受講してv13の試験を受けると、受講状態のページが以下のようにチグハグな表示になってしまいます。皆様には、講座を受講したらなるべく早く、遅くともバージョンが変わる前には受験されることを 強く お勧めします。
