こちらの記事では、CEH(認定ホワイトハッカー)試験について、合格に向けた勉強方法などを解説しています。
オリンピックなどもあり、今、日本はかつて無いほどサイバー攻撃のターゲットとなっています。
攻撃も多く観測されており、セキュリティ人材に対するニーズはますます高まっています。我々としてはある意味チャンスなのかもしれません。
このページをご覧の方々は、様々な情報セキュリティに関する勉強をされているかと思います。
情報処理安全確保支援士(情報セキュリティスペシャリスト)やCISSPなどいろいろな資格があるとは思いますが、今回は、CEH(認定ホワイトハッカー)試験について、解説していきたいと思います。
関連:内部監査とはどんな仕事か
関連:セキュリティを仕事にしたい人が絶対に読むべきオススメ書籍まとめ
目次
結論:合格するための勉強方法とは
結論から申し上げますと、合格するためには資格取得のセミナーに参加する方法と、独学で勉強する方法があります。
セミナーに参加する場合
GSX社や代理店に申し込んで試験を受験します。
EC-Councilセキュリティエンジニア養成講座CEH( 認定ホワイトハッカー)
50万円ほどしますが、セミナーに会社費用で参加などできる場合は参加するべきでしょう。
セミナーに参加させてもらえないといった場合や、セミナーに参加してしまうと資格取得の奨励金がもれなくなってしまう!といった事情がある方については以下の独学の勉強をしましょう。
ちなみに、筆者は独学で勉強して合格しました。
独学で勉強する場合
まず、試験対策としてはこちらの問題集の購入をおすすめします。
筆者はこちらの問題集で合格しました。
個人的に英語力はいまいちなのですが・・・まぁ翻訳などを駆使してなんとかなりました。
上記の問題集を解くだけではなく、英語版になりますが、Kindle Unlimitedに登録すると以下の参考書が無料で購読でき、演習に対してかなり参考になりました。
また、CEHをこれから受験しようか悩んでいる方に向けては、CEHがどのような試験なのかをわかるためにも良い書籍なのではないかと思いました。
まだKindle Unlimitedの無料キャンペーンを利用していない場合は、おすすめですから購読してください。
勉強時間
勉強時間は、250時間程度でした。
職務として、脆弱性診断などを実施したことがある方はもっと少ない時間で行けるのではないでしょうか。
筆者は経験がありませんでしたので、参考書を読んで、自分でツールをダウンロードしてきて、試してみるということを行っていたら、結構時間がかかってしまいました。
認定ホワイトハッカー試験(CEH)とは
CEHは米国EC-Council(国際電子商取引コンサルタント協議会)社が提供する認定資格です。
- NWスキャン
- OSスキャン
- 脆弱性を分析し
- システムにハッキング
- またはWebアプリケーションにハッキング
などのハッキング技術を倫理的に実証できることを証明するための試験です。
試験時間は6時間!(長い!)
関連:セキュリティ人材への転職やスキルアップにオススメな資格まとめ
CEH試験の出題範囲
- ホワイトハッキングとは
- フットプリティング(事前調査)
- ネットワーク脆弱性スキャン(OSやユーザに関する脆弱性を洗い出す)
- 脆弱性の列挙
- システムハッキング(ステガノグラフィー、ステガナリズム攻撃、カバートラックも)
- マルウェアの使用(システムを悪用するウイルス、コンピュータワーム、マルウェアを使う)
- パケットスニッフィング
- WEBへの攻撃(ディレクトリトラバーサル、パラメータ改ざん、XSSなど、さまざまなWebサーバー攻撃およびWebアプリケーション攻撃)
- SQLインジェクションを実行する
- 暗号を解読する
などです。全部で18のモジュールがあります。
合格点は70%以上です。
覚える必要があるキーワード例
- XSS
- CSRF
- SQLインジェクション
- OWASP Top 10
- BLE SLE ARO MTD RTO等
- バックアップテープの種類
- syslog
- トロイの木馬の種類
- ファイアウォール の種類と機能
- Nmapの基本的な使い方
- セキュリティフレームワークと法律(NIST SP-800、HIPPAなど)
- ShellShock
- WEPの脆弱性
- インシデントレスポンスの考え方
- どのポートがどのサービスに属しているか
- ハッキングフェーズの一般的な説明
- ブラックボックス、ホワイトボックス、グレーボックスの違い
- Burpsuite、kismet、nikto等の基本的な使い方
- suiteを読むことができる
- Wiresharkの基本的な使い方
- ARP
などなどです。
CEHに認定されるための職務経験
なお、EC-Council社が提供するトレーニングを受講した場合、特に求められる職務経験はありません。
独学でチャレンジする場合は、少なくとも2年以上の情報セキュリティ経験を有すること、情報セキュリティに特化した教育を受けていること、などの条件を満たしていることを、書類を提出することで証明する必要があります。(上司にサインなどをもらう必要があります)
証明できればトレーニングを受けずともEC-Councilに申請をすることにより、受験資格を得ることができます。
CEH保有者の平均年収と年収から見る考察
CEH保有者に来る求人はどれくらいの年収があるのでしょうか。
日本ですと、まだセキュリティの資格はあまり普及していないので、アメリカの求人を調べてみました。
下記の通り、年収が提示されているようです。
CISSP:$ 108,000(約1200万円)
CEH:$ 89,000(約1000万円)
GIAC:$98,000(約1100万円)
CISA:$98,000(約1100万円)
CISM:$121,000(約1400万円)
※1ドル115円の場合
※検索サイト:https://www.payscale.com/
CEHを保有していると転職がどのように有利になるのか
CEHという資格は、セキュリティの上位資格であることから、やはり市場価値が高いようです。
エージェントや求人情報を確認していると募集要項に「CEHを取得しているとなお良い」と記載された求人が多く来るようになりました。
具体的には、セキュリティコンサル系、技術系の求人、ITコンサル系の求人に顕著にみられますので、これらにキャリアップをしたい場合は、CEHは特に有利に働くのではないかという印象です。
しかしそれだけではなく、事業会社の求人でも「CEHやCISSPを取得している方を探している」という求人が来ることがあり、事業会社に転職を考える方にとっても有意義な資格であるように見えます。
ちなみに、この転職の求人が来るというのが個人的にはかなりモチベーションになりました。
まだ転職サイトに一度も登録したことがない人がいましたらハイクラスの求人が集まっている転職サイトに、登録してみることをオススメします。
そして職務経歴書に「保有資格CEH」などと記載してみてください。ヘッドハンターから「あなたのCEHとしての活動経験に着目しました!!」というオファーメッセージが多く来ることにびっくりするはずです!
なお、すぐに転職する気はないけど、どれくらい自分の市場価値が高まるかを確認したい場合は、以下のジョブクルアプリがおすすめです!
アプリダウンロードして、5分で登録が完了しますし、すぐに求人が来るようになりますから、とても結果がわかりやすいです。
まだ使ったことがない方は、ぜひ試してみてください。