第 9日目は、SOC アナリスト 日吉龍の記事です。SOC アナリストには欠かせない日々の鍛錬の一環として SANS 等のトレーニングを受講しています。本日の記事では SANS GIAC 試験の取り組みについて紹介します。

---

NTTセキュリティ・ジャパン SOCアナリスト 日吉です。数あるセキュリティ関連資格の中で、弊社のアナリストの間で最近取得者が急増している資格が GIAC(Global Information Assuraence Certification)です。GIAC は ISO/IEC 17024 の認定を受けているグローバルで通用する資格で、米国の SANS Institute が提供しています。筆者は GIAC を 2つ取得しており、ここではそれらの取得経験に基づいた試験を突破するための tips、およびそれにまつわる話題を扱います。

アナリストが GIAC を評価する理由

GIAC がアナリストに人気があるのは、それがアナリストとしての現場力を高めるのに役立つ、実務担当者向けの資格であるからです。GIAC は分野別に細分化された 30 以上もの資格があり、世間のニーズに応じて時折追加/削除が行われます。制度上は試験一発で資格を取得することも可能ですが、通常は取得を目指す資格に対応するトレーニングの受講し、その後数週間~数か月かけて受験準備をしてから試験の臨みます。トレーニングは全 6日間の長丁場で、筆者が参加したコースでは体感的に半分以上の時間が自ら手を動かす、ハンズオンに費やされます。コースが細分化されているためハンズオンも突っ込んだ内容で、自分が習得したいと思っているスキルを集中的かつ効率的に学習・習得することができます。GIAC はそのトレーニング内容に基づいた実践力を認定する資格であるため、SOC アナリストに高く評価されているのです。

アナリストが保有している GIAC

それでは数ある GIAC の中で、実際に SOC アナリストはどのような資格を取得しているのでしょうか?以下が現役 SOC アナリストが保有している GIAC の一覧です(複数名が保有している資格あり)。アナリストに求められる技術分野に対応し、かつ日本でもトレーニングが開催されている資格を中心に取得していることがわかるかと思います。この中では GASF が異彩を放っていますが、きっと将来必要になると熱く上司に語って、トレーニングに参加する許可を得たのでしょう。

  • Cyber Defence
    • GCIA : GIAC Certified Intrusion Analyst (Advanced)
    • GCDA : GIAC Certified Detection Analyst (Advanced)
  • Penetration Testing
    • GCIH : GIAC Certified Incident Handler (Intermediate)
    • GXPN : GIAC Exploit Researcher and Advanced Penetration Tester (Advanced)
  • Digital Forensics & Incident Response
    • GCFE : GIAC Certified Forensic Examiner (Intermediate)
    • GASF : GIAC Advanced Smartphone Forensics (Advanced)
    • GREM : GIAC Reverse Engineering Malware(Advanced)

GIAC 合格の秘訣

GIAC は難易度と専門性が高く、他のセキュリティ系の資格と比べると相対的に取得者は少ないためか、インターネットで調べても特に日本語の有為な情報はほとんどありません。GIAC は決して簡単な試験ではありませんが、万一落ちたら再試験に $799(約 8.7万円)もかかるため、受けるのならば絶対に一発で合格したいところです。少しでも合格率を上げるために有効と思われる対策を、筆者の自身の経験に基づき重要度順に整理してみましたので、GIAC の受験予定がある方は参考にしてください。

トレーニングテキストの索引づけをする

トレーニングの講師にも必ず言われるはずですが、以降の対策はできなくともこれだけは絶対にやっておきましょう。GIAC の試験問題がトレーニング内容から出題されるのは想像できると思いますが、実際はテキストに書かれていること "だけ" が試験範囲といっても過言ではありません(試験一発で合格するのが困難なのはこのためです)。誤解を恐れずに言い換えれば、テキストのどこかに必ず回答、もしくは回答に至るためのヒントがあるので、いかに効率よくそこにたどり着くかが非常に重要になるのです。運が良ければテキストにインデックスが含まれている場合もありますが、なかったら必ず自分で索引作ってから試験に臨みましょう。

予備試験を最大限に活用する

GIAC の試験を登録すると、予備試験を 2回受けることができます。本番と異なり、誤答した場合は正解とその解説を見ることができるので、自分の理解度の把握に役立ちますし、得点率や合否判定も出るため、合格という目標に対する自分の位置を知ることもできます。資料の持ち込みが許される中で、予備試験の打ち出しだけが例外的に認められていないのは、その有用性を物語っているといえるでしょう。

わからない問題は潔くスキップする

GIAC は画面に表示される選択式の問題を一問づつ解いてゆく CBT ですが、任意の問題を飛ばして後で回答し直す機能があります。後続の問題に回答へのヒント、もしくは回答そのものが含まれている場合が多々あるのですが、一度回答して次の問題に進むと二度と修正はできません。後で後悔することがないよう、自信を持って回答できない問題は潔く後回しにしましょう。

実際に手を動かす

以前から噂はされていましたが、一部試験で CyberLive Testing が導入され始めています。これは簡単に言うと、試験端末の中の仮想環境でコマンドを叩き、与えられた課題の解決を実演するというハンズオン形式の問題で、単純な選択式の問題よりも配点が大きいそうです。筆者はこの形式の試験を受けた経験はありませんが、こちらもトレーニングの内容を逸脱することはないはずなので、ハンズオン内容を十分に復習しておくことが肝要になるはずです。

使えそうな資料を持ち込む

GIAC では資料の持ち込みが許可されており、ほとんどの人は研修テキストのみを持ち込みます。しかし、予備試験そのものやそれに類するものでなければ、それ以外の紙資料の持ち込みも許されてるので、少しでも役に立ちそうな資料は何でも印刷し、遠慮なく持ち込みましょう。特に SANS が公開している各種チートシート、中でも研修で扱ったコマンドのチートシートはお勧めです。

英語に慣れておく

海外系の資格の場合日本語で受験が可能、もしくはノンネイティブは時間が延長される場合がありますが、GIAC ではそのような配慮は一切ありません。辞書の持ち込みも可能ですが時間の無駄なので、最低でもテキストの中身は辞書なしで理解できるように準備をしましょう。

余談 : SANS COIN

SANS のトレーニングの最終日は、研修生がチームに分かれて CTF で争うことになっています。そこで優勝すると、優勝チームのメンバーにはそのトレーニングに対応するコイン(SANS COIN)が授与されます。SOC アナリストが保有しているコインを募ったところ、10枚集まりました。

右上の DFIR と刻印されたコインは、同時期に開催されたトレーニングの参加者が一堂に会して競う CTF “NetWars” の上位入賞者に授与されるもので、トレーニングのコインよりも更に獲得が困難なコインです。

SANS COINの秘密

これはほとんど知られていないことですが、Penetration Testing に属するコースのコイン(SANS Pen Testing Coins)の裏面には秘密の暗号が埋め込まれており、すべてのコインの暗号を解くと、"Secret prize" がもらえるそうです。これは都市伝説でも噂でもなく、かつて SANS の公式ページに載っていた事実なのですが、残念ながら本稿執筆時点で当該ページは削除されていました。前述のとおり、原則として対応するトレーニングの CTF で優勝しないとコインは入手できないため、全種類集めるのは費用的にも技術的にもとんでもない偉業と言えるでしょう。

なお、秘密の暗号は一部の別のコースのコインにも埋め込まれているようで、たとえば 503 のコインの暗号の解読結果は こちら で公開されています。

皆さんも首尾よくコインを獲得できたら、その裏面を注意深く観察してみてください。暗号が埋め込まれているかもしれませんよ!