uhyoyeah’s diary

基本的に今を生きることを書きます。

GPEN(GIAC Penetration Tester)の合格体験記

はてなブログ始めましたというところと、GPENの日本語記事も比較的少なめなので、自身の経験も含めて書いてみました。中身のことについては守秘義務もあり触れませんが、立ち振る舞いなどはお伝えできると思うので、(若干のポエム感もありますが、)GIAC受験を目指す方の参考になればと思います。

 

  • GPEN(GIAC Penetration Tester)とは何ぞや

SANS社が技術やスキルを客観的に証明するため、実務で通用する情報セキュリティを認定するのがGIACです。この中でも、SANS社のSEC560というネットワークペネトレーションテストエシカルハッキングに関するトレーニングを受講し、その知識及び技術を問う試験に合格すると、晴れてGPENの認定を受けられます。

  • 私自身のスキルセットとか 

    • 本業は雑用をこなすマネージャー職。合間を見つけて趣味で手を動かす(コマンドを打つ)レベル 
    • CISSP/CISA
    • LPIC-2→数年前に失効
    • Comptia Pentest+(SEC560のトレーニング直前に取得)
    • 英語は好きだが得意ではない、海外の情報をgoogle翻訳と対比させながらざっくり読む程度
    • SOC/CSIRT業務を数年程度経験していた
    • 趣味でGDBを動かしている→CTFのPwnとか
    • GUIよりCUIの方が面白いと思っている
    • クラウドまわりの経験値は低い
    • 診断(ペンテスト)のお仕事経験は1年以下
  • 試験概要(執筆時点)

    • 試験について(GPEN)
      • 82問、選択式(受験時は75問+7問のVMを操作して解く問題)
      • 試験時間は3時間
      • 75%以上で合格
      • 試験の申し込みから120日以内に受験が必要
      • オープンブック(資料の持ち込みOK。ただし、下記模擬試験内容の持ち込みはNG)
    • 模擬試験について
      • Webベースで本番とほぼ一緒
      • 2回の模擬試験が受けられる→別の人にあげることもできるらしい

あまり深いことは考えず、その内容を楽しんだ方がいいと思います。6日目にはCTFがあるので、そこで全力を出す、といったところでしょうか。私の時はチーム戦で、なんとかコインをゲットできました。チームメイトに感謝です。なお、裏にはQRコードがあり、謎のハッシュ値のようなものが見つかりましたが、何の暗号でしょうかね・・・

f:id:uhyoyeah:20211215232035j:plain
  • 私自身の取り組みスケジュール

基本は下のスケジュール表のとおりですが、印象深いと感じたのは以下の点です。

    • 目標を定めるために、真っ先にスケジュールを作った。
    • 平均で一日2~3時間を使い、テキスト読み込みとインデックス(後述)作成で200時間くらいを溶かしたと思われ(元々GIACを受ける際でも、平均して55時間程度の自主学習が求められています)。
    • そのおかげで、英単語が多少覚えられるようになり、流し読み的なことが多少できるようになった。
    • 模擬試験1回目までにテキストを一通り読み終え、インデックスを作ってから試験に臨んだ。
    • 同じ資料を何回も読むのはやっぱり飽きる。テキスト読み込みの2周目はほぼインデックスの見直しの時間になった。
    • 模擬試験2回目が終わってしまうとモチベが続かなくて早く試験を受けたくてソワソワしてしまった。
    • SANSのトレーニングと試験が初めてで、相場観がいまいちわからなかったので事前にComptia のPentest+試験を受けていたが、SEC560はペンテストの計画~報告及びその技術までしっかり教えてくれるので、事前の受験が無くとも大丈夫と感じた(といいつつもWindowsコマンドプロンプトPowershellLinuxシェルの基本操作はできないとキツイと思います)。

テキストの読破スピードはそれぞれ違うと思うので、あくまで参考にしてください。

f:id:uhyoyeah:20211219000029p:plain

  • 試験準備から当日までのTipsあれこれ 

    • インデックスの作成

先人が皆口をそろえて言うとおり、自身で作成する「自作インデックス」はマストです。下のサイトがとても参考になりました(1ページにキーワードが3つでは足りなかったですが・・・)

また、インデックスがあることそのものではなく、インデックスを作る過程が極めて重要です。なので、GIAC体験記のサイトを色々見ると、インデックスはあげないので自分で作りなさいという説明が多いのも納得です。

www.ericooi.com

    • テキストブックへの書き込み

試験はオープンブックであり、これも英語が得意ではない私にとって重要な要素で、ページ内においてサッと頭に出てこない単語はすべて赤ペン(フリクション)で日本語を書き込みました。また、プレゼン部分はトレーニング中に説明してくれるのですが、

プレゼンでは時間の都合で割愛しているものの、ノート部分に重要なことが書いてある

ケースがあります。私自身が大事だと思う点に加え、「Note that」や「It is important」といった重要であることを示唆する表現などは蛍光ペンを引きました。また、

改めて英語などを調べることが無いようにとにかく日本語や補足を書き込む

ことも良いと感じました。

    • 模擬試験の活用

試験を受ける際は2回の模擬試験を受けることができます。その際、私自身が良かったと思ったのが、

インデックスを作りきってから1回目の模擬試験を受ける

ことです。初回は模擬試験に慣れるということを目的としつつ、できれば本番の態勢を2回体験したかったのでそのようにしました。

また、模擬試験は正解するとそのまま進み、回答直後に間違っている場合は解説が表示されます。必要であればスクリーンショットなどで一時的に保存しておくことをお勧めします(もちろんですがそのスクショは試験には持ち込めませんし、取扱いは気を付けてください)。

    • 試験時の時間配分とか

私は自宅ではなく、ピアソンで受験しました。  その際、様々な先人の意見を参考にし、以下のとおりにしました。

      • 試験会場には20分前に入った
      • 約1時間50分で74問を解き、休憩に入る(10分)
      • その際、問題を10問程度後回しにした。(休憩に入る際は後回しにした問題をすべて解く必要がある)。
      • 残りの1時間でVM7問を解く。
      • 2回の模擬試験でも同じことをやっていた。

最終的にはVM問は20分程度余りましたが、自分のタイポのせいでうまくできなかった時は本当に焦ったので、時間に余裕のあることが望ましいです。

    • 試験に持ち込んだものとか 
      • SANSテキストブック560.1~560.6+Workbook
      • 自作インデックス
      • 各種コマンドチートシート
      • コンパクトな英和辞典

結局上記のものを持ち込んだのですが、560.6、Workbookとチートシートは使いませんでした。というのも、ほぼ講義で教わったコマンド等を自作インデックスに全て書き込んだため、わざわざ別のものを見る必要がありませんでした。

また、巷ではGIACの試験問題がいろいろなサイトで売られている(中身の品質は不明)ようですが、模擬試験~本番を受けていて思ったのは「オープンブックだしテキストをしっかり読み込めば買わなくても十分」と感じました。

模擬試験を含めて以下のようなスコアとなりました。

試験区分
パーセンテージ
模擬試験#1
91%
模擬試験#2
90%
本番
93%

本番は模擬試験と同じ感覚で取り組むことができ、試験会場が運よく周りに誰もおらず、落ち着いた環境で取り組めました。

  • 試験を終えた後

    • 試験に90%以上?で合格するといろいろあるようです。

      • インストラクター育成プログラムのご案内が来ます

      • GIACのアドバイザリボードへのご案内が来ます(要NDA

    • Certificateの紙がもらえます(額が不要なら無料)

 

つらつらと長く書きましたが、これから受験する方の参考になれば幸いです。試験をあれこれ受けていて思うのが、ゴールではなくこれからが始まりですよねー。

  • 参考にさせてもらったサイト

zenn.dev

insight-jp.nttsecurity.com

tisiphone.net