はじめに
会社からSANSの研修を受けさせてもらえる機会がありましたので、該当するGIAC資格も取得してきました。GCIHというGIAC資格の中では一番取得者が多い(※)と思われるものですので、今後勉強される方にご参考になればと思います。
既にCISAやCISSP等の資格をもっており情報セキュリティに関する知識をある程度持っている状態での受講ですので試験勉強等はご参考程度に見ていただいた方がよいと思います。
試験概要
名称:GIAC GCIH
問題数:106問 CyberLiveといって仮想マシンでコマンド等を実行して答えを得る問題もあり。
合格基準:約70%
受験料:$949
受験形式:試験センターまたはリモート受験
オープンブック形式:紙の資料は持ち込めます(諸条件あり)
※2023/03時点で試験の日本語版はなくすべて英語の試験となります。
研修内容(SEC504)
どちらかというとペネトレコースだったとは思いますが、インシデントハンドリングだけあってRedTeam(攻撃側)からBlueTeam(防御側)の内容まで幅広い感じです。その分、各項目内容は薄くなりますがクラウド環境での列挙方法やRed/Blueの各種ツールなどを幅広く扱っており、現状のサイバーセキュリティに関する内容をオーバービューすることができ、自分の苦手な分野を把握でき参考になりました。
研修自体も初心者から中級者の方までさまざまなスキルの参加者がいるように思いましたが、講師の追加資料によって中級者の人でも満足できるような内容となっていました。
コース資料として40GB越えのISOファイルが提供され、Windows/linuxのvmイメージや追加資料がもらえます。実際にVMの中で操作していろいろ学ぶので満足度も高いです。個人的にはあまりPowershellを触ってこなかったので、Posershellの基本をツールで学べたのはよかったです。コース最終日にはチーム対抗CTFがあり優勝するとメダルがもらえますが、これは完全にチームガチャですね。私の参加した研修では4人~6人のチーム分けになり、私は4人のチームなのでまぁ結果はそこそこでした。
コース終盤にVMの不具合を発見したので、報告して作者確認中となりましたがそのままコース終わってしまいましたね。今後同じコースを受講される方のVMイメージが修正されているといいなと思います。
※もうひとつ残念な点としてはVMイメージはインテルアーキテクチャのものなので、AppleシリコンのVmwareFusionとかでは動きません。(インテルMacは可)
試験申し込み
試験申し込みは、SANSの研修を申し込む際に試験オプションの申し込みをするのが一番手間なく模試も2回受けれるので良いです。
しかし今回の私の場合、会社の諸事情あり申し込みはSANSの研修のみでした。その後、研修をうけてみて以下のメリットを説明され、さらに研修受講直後に試験を追加申し込みすると模擬試験2回分がプレゼントされると聞き、お得情報に弱い私は受験を決意するのでした・・・
- GIACを受験するメリット
- 新しいコースの資料GET
- SANS Advisory Board ML(研修時に講師が良い鵜情報ありますと言っていた)
※特に「新しいコース資料提供」は広い範囲を扱っているインシデントハンドリングのコースだけに自分の知識の定期的なアップデートにちょうどいいかなと思いました。次あたりコンテナセキュリティまわりの情報も入ってくるといいな。
研修終了直後、SANSに連絡して試験オプションを申し込んで支払いをするのですが、今回の研修申込経路やうちの会社の補助金ルールなども絡んでちょっと複雑になりました。
まずは、SANSに「研修受けてるんやけど試験オプションを申し込みたいねん」と翻訳ツールを駆使しながら英語でメールします。英語通じてるかなーと思いながら待っていると、日本語でSANSのサポートの人から連絡が来て安心します。日本語で安心してやり取りしていると、クレカ決済の場合、SNASに英語でTELして決済してねと言われ、SANSの営業時間(日本時間だとたしか23時から翌7時)に国際電話をかけて、なんとか試験オプション追加が完了しました。
決済の電話は、たんにクレカ決済してもらうだけなのに電話の音声が聞き取りにくいのか英語の発音に慣れていないのか苦労して10分以上話していました。今回は光電話から国際電話を掛けたのですが7円/3分くらいで、携帯の通話料金よりむっちゃ安いじゃんってちょっとした雑学身に付きました。
試験オプションがシステムに反映されればあとは簡単です。試験会場・日時はSANSのマイページ→GIACのページ→ピアソンVUEのページとリダイレクトされて申し込めるようになります。2023/03時点で、東京あたりだと会場は「西新宿」「渋谷」「横浜」の3択でした。試験日時も土日は直近の数週間は埋まってたものの平日であれば1週間後ぐらいなら3会場のうちどこかは空いているような感じでした。年度末だったのでたまたま空きとかキャンセルが多かっただけかもしれませんが首都圏であれば自由に選べると思います。
だいたい研修終了後、1週間でSANSと試験オプションについてやりとりして模試と試験申し込みができるようになって、1週間後ぐらいの試験日を申し込んで1週間で勉強して臨んだ感じです。
※私の場合、RedTeam側要素は事前に理解していましたので勉強時間は少なくなっていますが、初めて勉強される方はもっともっと勉強時間が必要だと思います。
勉強方法
模擬試験が2回受けれるのはとても大きいです。研修の最後あたりに試験練習みたいな問題が数問ありましたが、この模試で出題の英語の記載ぶりやどんな感じの問題が出るかなど把握できます。また2回やると同じ問題も出てきて、この辺りの問題が出やすいのかなとかイメージが膨らみます。あとCyberLiveと呼ばれる実際にVMでコマンドを叩いて回答を見つける問題では、面白くてついつい色々なコマンドを叩いて時間を無駄に消費してしまいますので模試で十分に遊んでおきましょう。
GIAC試験を調べるとインデックスを頑張って作るといった勉強方法が紹介されていますが、今回の研修教材の中に簡易的なインデックスがPDFで提供されておりそちらを印刷して使用しました。模擬問題で何度かこのインデックスを使って調べるので本番までには大体どの辺に何が書いてあるかわかるぐらいにはなりました。
私の場合は、RedTeam的な要素部分は理解していたのでBlueTeam部分のツール部分、およびクラウド環境でのツール類をメインで復習していきました。
試験当日
今回は横浜の会場で受けてみました。ブレイクスルー横浜テストセンターのホームページに駅からの行き方も写真付きで掲載されていて迷うことはなかったです。横浜の地下街は平日でもけっこう人多いですね。
会場は英検もやっているようでそれなりの規模で、ロッカーも大きく良かったと思います。受付も3ブースくらいあり受験者同士試験時間がかぶっていてもスムースだと思います。トイレは少ないですが、私の受験時間と被ってい人が少なかったのか全部埋まっていることはなかったです。
オープンブックの試験なので、英和辞典、研修資料1−5とワークブック2冊、簡易インデックスPDFを印刷したものを持ち込みました。さすがに会場まで持っていくの重かったです。机は特に狭くも広くもなく普通の広さなので、英語の辞典や研修テキストを本棚のように立てて並べて必要に応じて取り出してみたいな感じでできました。(そして一番重かった英和辞典は2、3回引いただけという・・・)
試験の形式(というかインターフェース)も、模擬試験の形式と同じなので問題をスキップするときの手順なども特に迷うこともないと思います。いまさらながらホントに全部英語文の試験やってるわーと自分自身の成長に感動しながら240分の試験を走り抜けました。
試験結果は、98%で合格しました。
模擬試験が73%、92%と順調に推移してきていたので順当に行ったかなという感じです。
結局、英語ができなくて問題文がよくわからない問題は1問だけでした。あとは問題文はわかるけど、知識的に(テキストにも載ってないと思ったのであきらめた)これ知らないというのが1問。たぶん問題文等の訳はあっていると思うんだけど、選択肢のどっちも正解(または不正解)なんじゃないかと思える問題が5問くらいあったような気がします。(テスト中に英語で各問題のフィードバックを送る余裕もないので適当にどれか選んで進めましたが・・・)
感想
まずSANSの研修は今やどれも100万円弱くらいするので受講させてもらった会社には感謝です。初SANS研修ですがとても楽しくできました。
演習はオンラインとオフラインのハイブリッド開催でしたが、ノートPCはAppleシリコンのPCしか持っていないのでオンラインで参加しました。オンライン参加だと研修の直前と直後まで会社の業務をやっていてちょって集中するのが大変だなとは思いました。その分、自分の激強デスクトップPCでスナップショット取りながらいろいろ試せました。slack等のツールもあるのでオンラインでもまったく支障はなかったと思います。
インシデントハンドリングの概要をざっと目を通せるGCIHは今後の知識のアップデートにもちょうどいいのではないかと思っています。(ちゃんとCPE貯めれればですが・・・)ちゃんと更新でして新しいテキストをもらえればざっと読んで自分の知らないツール等について自分でより付加ぼっていけるいい機会になるのではないかと今後も期待しています