こんにちは、さとうです。

ここ近年の全国的な人手不足にとともに、情報セキュリティ(特にサイバーセキュリティ)に関する業務における人材募集を多く見かけるようになりました。
募集要項を見ると、持っていると望ましい資格の例として 情報セキュリティスペシャリスト(もしくは情報処理安全確保支援士)やCISSP(Certified Information Systems Security Professional)、CISA(Certified Information Systems Auditor)
などが挙げられているケースが多いです。

しかし、最近は特に技術系のスキルを持つ人材の需要が高く、上記以外の技術系の資格の名称も登場しています。
ベンダー系の製品に紐づく資格も多いのですが、ベンダーに依存しない資格として、例えば、GIACや、CEHなどのような資格が挙げられるケースもあります。
このうち、米国EC-Councilが主宰するCEH(Certified Ethical Hacker)」(直訳すると認定倫理的ハッカー)は、攻撃者の視点に立ったハッキングの技術と対策について包括的に学ぶことのできるテストとなっており、公式トレーニングでハンズオン講習を受講して試験を受けることができます。(もちろん受験オンリーも可能)

44



出題される範囲は以下の通りです。
一つ一つはそれほど深い内容ではないのですが、攻撃者が何を考え、どのようなプロセスやツールを用いてクラッキングをするのかを体系的、網羅的に学べます。

I. Background
 A. networking technologies (e.g.,hardware, infrastructure)
 B. web technologies (e.g., web 2.0,skype)
 C. systems technologies
 など

II. Analysis/Assessment
 A. data analysis
 B. systems analysis
 C. risk assessments
 など

III. Security
 A. systems security controls
 B. application/file server
 C. firewalls
 など

IV. Tools / Systems / Programs(最も出題割合が多いので全て表示)
 A. network/host based intrusion
 B. network/wireless sniffers (e.g.,WireShark, Airsnort)
 C. access control mechanisims (e.g.,smart cards)
 D. cryptography techniques (e.g.,IPsec, SSL, PGP)
 E. programming languages (e.g. C++,Java, C#, C)
 F. scripting languages (e.g., PHP,Java script)
 G. boundary protec on appliances
 H. network topologies
 I. subnetting
 J. port scanning (e.g., NMAP)
 K. domain name system (DNS)
 L. routers/modems/switches
 M. vulnerability scanner (e.g., Nessus, Retina)
 N. vulnerability management and protection systems (e.g., Foundstone, Ecora)
 O. operating environments (e.g., Linux, Windows, Mac)
 P. antivirus systems and programs
 Q. log analysis tools
 R. security models
 S. exploitation tools
 T. database structures

V. Procedures / Methodology
 A. cryptography
 B. public key infrastructure (PKI)
 C. Security Architecture (SA)
 など

VI. Regulation/Policy
 A. security policies
 B. compliance regulations (e.g., PCI)

VII. Ethics 
 A. professional code of conduct
 B. appropriateness of hacking

※出題範囲と割合の詳細は下記URLを参照。
 https://www.eccouncil.org/wp-content/uploads/2016/02/CEH-Exam-Blueprint-v2.0.pdf


設問は125問、制限時間は4時間選択式です。
テストセンターでPCでの受験になります(日本のテストセンターで受験する場合は英文)

CEHの受験には以下のコストが必要になります(2017年12月現在)。

 ・申請手数料:100ドル(13,000円くらい)
 ・受験料:950ドル(130,000円くらい)
 ※もし、米国における公式トレーニングの費用は、850ドル(110.000円くらい)
 ※合格した場合、別途維持費用が必要


しかし、近年ではCEHは日本で公式トレーニング(5日間)と受験が日本語でも受けられるようになってきています。
その場合のコストは上記よりも高くなり、以下の通りです(2017年12月現在)。

 ・公式トレーニングおよび受験料(1回分):498,000円(税抜)
 http://www.gsx.co.jp/academy/ceh.html(グローバルセキュリティエキスパート株式会社)

一方で、冒頭に挙げたGIAC(米国SANS Instituteが主宰)は、そのシリーズの中で最もベーシックなGSEC(GIAC Security Essentials Certification)は、日本での公式トレーニング(6日間)は590,000円(税抜)で、別に受験料は85,000円(税抜)必要です(2017年12月現在)。
日本でのCEHの公式トレーニングは価格は高いですが、ハンズオンで実践的に学べるということと、他の資格の費用と比較するとそれほど高くないのではと考えられます。


なお、参考書兼問題集(英文)を購入すればCEHは独学も可能ですので、まず自分の担当業務上どのレベルまでの知識やスキルが必要か、自身の英語力はどうか見極めてから、トレーニング予算と相談して独学にするか、公式トレーニングつきにするかを決める必要があると思います。



さとう