【GIAC】GCFE合格体験記~勉強方法や試験対策~

資格・学習
この記事は約12分で読めます。

去年のことになるが、GIACの認定試験「GCFE」に合格した。
これまでに経験した資格試験とはかなり違うところがあり、勉強中に戸惑うことが多かったが、日本語での記事があまりなかったので、後に続く人にとって少しでも役立てばという思いで書いていく。

GIACとは

GIACとは、サイバーセキュリティ関係の業務に携わっている人であれば、どこかで耳にしたことがあるとは思う。
これは何かというと、セキュリティ系の国際資格のことで、おそらくこの分野では最も専門的な資格試験のひとつとなっている。

GIACの中には専門範囲や難易度で細分化されており、今回私が取得したのは、その中でもWindowsForensicの「GIAC Certified Forensic Examiner(GCFE)」という資格。

GIACの試験を受ける前は、SANSの研修を受けるのが一般的で、おそらくほとんどのGIAC受験者は研修を受講している。
なぜかというと、この研修で配布されるテキスト=試験範囲であり、このテキストなしでは到底試験に受かりえないからだ。

受験にかかる費用としては、研修受講&試験で100万円くらいで、試験を1回受けるだけと10万円ほどかかるのでかなり高級。
研修自体は基本的に英語で行われるが、同時通訳がついてくれるので、日本語で授業を聞くことができるので、英語が苦手な人でも安心して研修を受けられる。
そのため、「英語は苦手で…」という人でも(研修受講には)全く問題ない。

試験の概要

3時間で115問を解く。
紙媒体であれば、模試の問題以外はなんでも持ち込み自由なので、公式教科書や公式チートシート、お手製のノートなどなんでも使うことができる。
ただし、模試の問題や答えは持ち込めない。

GIACでは、試験はすべて英語で行われるため、日本人には若干不利。
英語がスラスラ読めるのであれば問題ないが、私のように「平均よりは英語ができる方だけど、そんなに得意じゃない」という人は、それなりに苦労するかもしれない。

とはいっても、外国人(GIAC殿から見れば)でも受験できるようにするためか、比較的平易な英語なので、文意を読み取ること自体はそこまで難しくない。

テストを受けるときは、テストセンターor自宅を選べる。
私は家にちっちゃな子供いるので、面倒だがテストセンターで受験した。

筆者のステータス値

情報系大学卒の学士。
普段は事業会社のセキュリティ系部署で勤務している。
受験当時のセキュリティの資格としては情報処理安全確保支援士のみ。

フォレンジック実務については、不正調査ジャンルでの実務経験があり、HDDなどの証拠保全や基本的な解析は一人で行えるレベルだった。
XwaysやAXIOMといった統合型のフォレンジックツールを使った経験もあり、個別のアーティファクト用解析ツールも基本的なものは触ったことがある。
とはいっても、フォレンジックベンダーの教育を受けた経験はなく、ずっと行き当たりばったりで作業をしていたので、体系的な知識はそろっていない状態だった。

また、ファイルシステムやシェルアイテムの構造については基本的なこと(MBRやMFTのことなど)は、ふんわりとわかっているものの、詳細までは理解できていないという程度。

英語力に関してはTOEIC500点台というショボショボで、これまで英語での業務経験もなかった。

SANSの研修受講

まず、申し込みしてしばらくすると、アメリカから教材が送られてくる。
1度だけさらりと流し見して、SANSの研修を受講した。

研修はオンラインで行われ、当然のように英語で行われるが、同時通訳が入っているので日本語で受講することができた。
内容はというと、分厚い教科書5冊分を1週間でやりきるため、進行スピードはとてつもなく早い。
とてもではないが教科書の細部を拾っているひまなどない。

わからないところにチェックを入れたり、講師が「重要!」と話したところにマーキングするのがせいぜいだった。
(こんなにせわしない研修は初めてだ!)

また、研修の最終日では参加者全員でちょっとしたCTF大会がある。

内容について触れるわけにはいかないが、なんとか優勝することができ、ウワサのコインをゲットすることができた。

やったね!!オバケみたいな絵。裏面はアメコミヒーローみたいで超かっこいい。

勉強開始

研修が終わればいよいよ試験勉強のスタート。

ひたすら教科書を読む

まず、大変困ったことだが、GIACの試験では一般的な試験と異なり過去問集がない。
一応ネットで検索すると怪しい機械翻訳のサイトで問題集が販売されているのを見かけるが、信用できるかわからなかったので、買う必要はないと判断。

で、過去問集がないことの何が問題かというと、効率的にアウトプット系の勉強をできないということ。

たぶん人間の脳は、インプットしたことをわざわざアウトプットしないと記憶に定着しない(個人の感想です)。

そんなこんなで大変勉強しにくい資格試験だが、本試験では教科書を持ち込み可能。
そのため、全体を広く浅く理解することが肝心と考え、通勤時間やちょっとしたスキマ時間に教科書をパラパラと流し読みし続けた。おそらく教科書全体を10周くらいしたと思う。

1周目は教科書上段のパワポの部分に加え、下の文章も全部読んでいたが、明らかにこのやり方では試験対策が期限内(研修受講から4ヶ月以内に受験する必要あり)に終わらないとわかった。
ということで、2周目以降はパワポ部分を主に読み、文章部分は”note that”などと強調されているところだけ目を通すようにしていた。

教科書を周回しているときは、「教科書の文章部分からも細かな出題がされるだろうし、このやり方でいいんだろうか…?」と常に不安だったが、今思えばこれは正しい勉強法だったとわかる。

テスト自体は選択式で合格ラインは7割程度で持ち込みも可能なため、試験合格に必要なのは「簡単な問題は即答できる程度に理解すること」「該当ページをすぐに引っ張り出せること」だからだ。

細かな内容より、全体ザックリ理解の方が100倍大事。
これ重要。

ラボの復習

教科書を読むだけでは、やはり脳みそへの刺激が一辺倒になってしまうので、2周ほどした時点で一度ラボでハンズオンの総復習をした。

ある程度教科書をわかったうえでハンズオンをすると、なかなかいい刺激になって理解が深まった。
それなりに時間はかかるが、やってよかったと思っている。

試験対策とは話が逸れるが、このSANSのラボは本当に素晴らしい教材だった。
ここまでみっちりと細かなテクニックを教えてくれるハンズオンにはこれまで出会ったことがないと思ったほど!

インデックスの作成

GIAC試験の対策についてネット検索すると、インデックスの作成に関する情報をどこでも見かける。
私も例にもれずインデックスの作成をおこなった。

インデックスにはいろいろな流派があるが、一番有名なのが以下のリンクだと思う。

Better GIAC Testing with Pancakes
It’s no secret that I’m a fan of SANS and their associated GIAC infosec certifications. Certifications aren’t worth a to...

いろいろな分野やジャンルを含むGIAC認定(GCIHのような)であればこのようなインデックスがいいかもしれないが、私が受講したものは専門分野にとがっていたため、効果が薄いと考えてまとめノートスタイルにした。

教科書ごとページごとに「タイトル」「概要・主要ワード」を併記していくスタイルとして、ページ間のつながりや各種アーティファクトの関係性を追いやすくした。

このあたりは好みなので、ぶっちゃけなんでもいいとは思う。

私のまとめノートスタイルは以下のような感じ。

本Noページカテゴリ詳細概要
1P30FileSystemNTFS-〇〇〇〇NTFSのファイルタイプには〇〇〇というようなメタデータがあって、こんな感じの情報が含まれる。具体的に〇〇の用途に使用。
1P32RegistryNTUSER-LastVisitedNTUSER\〇〇にはコレコレなデータがあり、特徴は…
4P44EventLogSecurityLog-Logon4624…〇〇のログ
4648…〇〇のログ
………
こんなイメージ(内容は適当)

インデックスづくりに必要なものとしては、付箋と表計算ソフトくらいでいいだろう。

模擬試験

SANSの研修に申し込むと、2回の模擬試験がついてくる。

ひととおり勉強して(教科書10周ほどパラパラ読み)、自宅で模試(1回目)に挑戦したところ、79%のスコアだった。

少しだけ復習し、インデックスを調整したのち、1週間後に再度模試を受けると83%であったため、合格率高し!と判断。
少し遠くではあったが、自宅でのプロクター付き試験は邪魔が入りそうだったので、ピアソン試験センターで受験することにした

試験当日

頭のさえた朝イチに試験を開始。

若干緊張しながらも、1問1分半ほどのペースで順調に回答。

2時間経過時点で1回休憩し、そのまま最後まで問題を解いた。

最後のSubmitを押すと….

「PASSED」の文字が!!

思わずPC前でガッツポーズしてしまった。

SANSのアカウントにログインすると、試験結果の詳細を見ることができた。

合格後の手続き

合格後、SANSのサイトにログインすると、認定証のorderみたいなボタンが生まれていたので、とりあえず会社の住所を送付先として注文した。

追加でお金を払えば額縁もくれるようだが、別にいらないのでスルー。

(追記)2か月くらいで賞状が届いた。

試験合格のコツ-個人の感想です-

以下誰かの役に立てばと思い、個人的な考えを書いてみる。

Q:GIACって難しいんでしょ…

GIAC自体は専門的で難しいものだが、しっかりと勉強すれば凡人(私のような)でも余裕をもって合格できる。

また、割と入門的なコースもあるのでITやセキュリティに自信のない人はそういったコースを選ぶのもありだろう。(せっかくのSANS受講の機会を、初心者向けコースに使うことは個人的にはもったいないと思う)

ただ、500ランク以上の専門的なコースになると、少なくとも情報処理安全確保支援士くらいの基礎知識+αは必須。
GCFEでいえば、「インシデントレスポンス時になぜメモリダンプをなぜとるのか」「HDDの証拠保全をしないと何がマズイのか」「なぜデータはリトルエンディアンで並ぶのか。ビッグとどう違うのか」こういったことは前提としてわかっていないと合格は難しいと思う。

ちなみにサイバーセキュリティ系資格の難易度表は以下のリンクへ。

Security Certification Roadmap - Paul Jerimy Media
IT Security Certification Roadmap charting security implementation, architecture, management, analysis, offensive, and d...

Q:試験は全部英語なんでしょ…

教科書は英語だし、試験問題も回答文も全部英語。
余すところなくすべて英語。

だが、ぶっちゃけビビることはない。

GIACは外国人向けのテストなのか、かなり平易な英語が使われている。

中学レベルの基礎英語と文法が分かれば十分に読めるような英文だし、専門的な英単語も多いが、セキュリティに携わっていれば必ずどこかで目にしたようなものばかりなので(Volnavility、Forensic、Obfuscationなど)意外となんとかなる。

とはいっても、GIACの合格者はそんなに多くない。

きっと英語試験のためにモチベーションが上がらないのではなかろうか。

「会社命令で受講したけど、試験は英語だし俺が受かりっこない。同僚もみんな落ちてるし適当に受けて落ちておこう」というものじゃないのかな。(少なくとも私の周りはそう)

ただ、ひとつだけ言いたい。

「GIACの英語は、超イージー」

教科書めくったけど読めない?
なら読め。読めるようになるまで読め。DeepL使っていいからとりあえず読め。以上だ。大丈夫。耐えて読んでればすぐに読めるようになるから。(体験談)

Q:模試の追加購入について

「めちゃくちゃ受かりたい」という人とっては十分アリな選択肢だと思う。

私は追加購入していないが、もしも「2回の模試を使い切ったが成果が振るわない」「金に糸目はつけぬ。効率的に学習したい」という人は、スマホゲーの石を割るようにガンガン課金して模試を買えばいいと思う。

GIACの試験勉強のつらいところは、過去問集や問題集がないため、アウトプットをできないことにつきる。
唯一のアウトプットがインデックス作りになるが、1度しか経験できない(2度やってもいいんだろうけれど…)。

模試を受けると、出題傾向をつかめてその後のテキスト学習での力の入れどころが分かるし、模試中には間違った回答の解説も表示される。
ひたすら教科書をめくるより、間違いなく効率はいいだろう。私は結局模試を買わなかったが、個人的には3万円くらいまでなら課金してもよかったんじゃないかなと。

とはいっても、模試1発で1万円ほどかかるので、わりと高価ではある(つらいね)。

Q:SANSにも日本語の研修あるよね

私の周りでSANSを受けた人は多くいるが、日本語verの研修受講がやっぱり多い。

具体的にはSEC401(GSEC)とSEC504(GCIH)だ。

これらの試験自体は英語で行われるものの、教科書が日本語なので大変勉強しやすい。
ではこれらがおすすめか?

私はあまりオススメではないと思っている。
より専門分野に特化した研修を受けた方が有意義だと思っている。

理由1、英語にビビッてこのコースを選んでもどうせ試験には受からないから。

私の周りでこれらコースを受けている人はいくらかいたが、受かっている人がどれだけいるかというと、ほとんどいない。

原因について個人的に思うことは、教科書の内容は理解したものの、試験では全く歯が立たないというパターンかと。

それはそうだろう。IT専門用語(日本語)で勉強して、それを試験の際に瞬時にIT専門用語(英語)に変換できるのか
これができるのはもとから英語が得意な人だけ。

結論、英語が嫌で日本語の研修を選んでもそうそう受からない。(もちろん研修の内容を吸収することはできるし、それは大いに価値がある)

理由2としては、せっかくの機会がちともったいないということ。

SANS研修を自腹で受ける人はいないだろう。ほとんどの人は一生に数回の機会ではなかろうか。

先の日本語化された研修の内容は、セキュリティ分野の基礎であったりペンテストの初歩であったりするので、実はその内容はAmazonに売っている技術書やWeb上の教育コンテンツで代替できたりする。

しかし、日本語化されていないような専門化された分野のSANS教科書は、個人では調査しきれないくらいの知識量が込められており、単純に技術書としても非常に価値がある。

もちろんハンズオンの内容も世界トップクラスだろう。

その辺では手に入らない学習教材に触れる機会を(言葉の壁を理由に)捨てて、一般的な知識を求めるというのは大きな機会損失ではないだろうか。

それに、前述のとおりSANS教科書の英語は平易なので、英語の学習を兼ねて、ビビらずにDeepLを使いながらでも真正面から読んでいけば、いずれ必ずソラで読みとおせるようになる。
SANSの教科書をスラスラと読めるくらいの英語力に到達すれば、英語でのちょっとした調べ物にもそこまで困らないし、業務上でツールのレポートなんかを読むにも十分だ。

専門知識をつけ、副次的に英語力も爆発的に成長。

こんな機会を逃すのか?もったいないよ!

まとめ

GIACの試験を受けた結果をまとめた。

この記事を読む人の多くはこれからGIACの試験を受ける人だと思う。

英語にビビるな!頑張ってください!

コメント

タイトルとURLをコピーしました