【CEH】認定ホワイトハッカー試験に合格するための方法解説！【Certified Ethical Hacker】

こちらの記事では、CEH（認定ホワイトハッカー）試験について、合格に向けた勉強方法などを解説しています。

オリンピックなどもあり、今、日本はかつて無いほどサイバー攻撃のターゲットとなっています。

攻撃も多く観測されており、セキュリティ人材に対するニーズはますます高まっています。我々としてはある意味チャンスなのかもしれません。

このページをご覧の方々は、様々な情報セキュリティに関する勉強をされているかと思います。

情報処理安全確保支援士（情報セキュリティスペシャリスト）やCISSPなどいろいろな資格があるとは思いますが、今回は、CEH（認定ホワイトハッカー）試験について、解説していきたいと思います。

関連：CISAに合格する方法を解説

関連：CISMに合格する方法を解説

関連：内部監査とはどんな仕事か

関連：セキュリティを仕事にしたい人が絶対に読むべきオススメ書籍まとめ

結論：合格するための勉強方法とは

結論から申し上げますと、合格するためには資格取得のセミナーに参加する方法と、独学で勉強する方法があります。

セミナーに参加する場合

GSX社や代理店に申し込んで試験を受験します。

EC-Councilセキュリティエンジニア養成講座CEH（ 認定ホワイトハッカー）

50万円ほどしますが、セミナーに会社費用で参加などできる場合は参加するべきでしょう。

セミナーに参加させてもらえないといった場合や、セミナーに参加してしまうと資格取得の奨励金がもれなくなってしまう！といった事情がある方については以下の独学の勉強をしましょう。

ちなみに、筆者は独学で勉強して合格しました。

独学で勉強する場合

まず、試験対策としてはこちらの問題集の購入をおすすめします。

筆者はこちらの問題集で合格しました。

個人的に英語力はいまいちなのですが・・・まぁ翻訳などを駆使してなんとかなりました。

CEH v9: Certified Ethical Hacker Version 9 Practice Tests

posted with カエレバ

Raymond Blockmon Sybex 2016-04-19

Amazon

楽天市場

CEH v9: Certified Ethical Hacker Version 9 Study Guide

posted with カエレバ

Sean-Philip Oriyano Sybex 2016-04-22

Amazon

楽天市場

上記の問題集を解くだけではなく、英語版になりますが、Kindle Unlimitedに登録すると以下の参考書が無料で購読でき、演習に対してかなり参考になりました。

また、CEHをこれから受験しようか悩んでいる方に向けては、CEHがどのような試験なのかをわかるためにも良い書籍なのではないかと思いました。

まだKindle Unlimitedの無料キャンペーンを利用していない場合は、おすすめですから購読してください。

著者：Dr. Hidaia Mahmood Alassouli

書籍名：Certified Ethical Hacker (CEH) Course (English Edition)

・Part 1: Hacking Lab Setup

・Part 2: Foot printing and Reconnaissance

・Part 3: Scanning Methodology

・Part 4: Enumeration

・Part 5: System Hacking

・Part 6: Trojens and Backdoors and Viruses

・Part 7: Sniffer and Phishing Hacking

・Part 8: Hacking Web Servers

・Part 9: Hacking Windows and Linux Systems

・Part 10: Wireless Hacking

・Part 11: Hacking Mobile Applications

Kindle Unlimitedの30日無料登録ページはこちら

※無料キャンペーンに参加できない人も今なら、2ヶ月で299円とのこと。

勉強時間

勉強時間は、２５０時間程度でした。

職務として、脆弱性診断などを実施したことがある方はもっと少ない時間で行けるのではないでしょうか。

筆者は経験がありませんでしたので、参考書を読んで、自分でツールをダウンロードしてきて、試してみるということを行っていたら、結構時間がかかってしまいました。

認定ホワイトハッカー試験（CEH）とは

CEHは米国EC-Council（国際電子商取引コンサルタント協議会）社が提供する認定資格です。

・NWスキャン

・OSスキャン

・脆弱性を分析し

・システムにハッキング

・またはWebアプリケーションにハッキング

などのハッキング技術を倫理的に実証できることを証明するための試験です。

試験時間は6時間！（長い！）

関連：セキュリティ人材への転職やスキルアップにオススメな資格まとめ

CEH試験の出題範囲

・ホワイトハッキングとは

・フットプリティング（事前調査）

・ネットワーク脆弱性スキャン（OSやユーザに関する脆弱性を洗い出す）

・脆弱性の列挙

・システムハッキング（ステガノグラフィー、ステガナリズム攻撃、カバートラックも）

・マルウェアの使用（システムを悪用するウイルス、コンピュータワーム、マルウェアを使う）

・パケットスニッフィング

・WEBへの攻撃（ディレクトリトラバーサル、パラメータ改ざん、XSSなど、さまざまなWebサーバー攻撃およびWebアプリケーション攻撃）

・SQLインジェクションを実行する

・暗号を解読する

などです。全部で18のモジュールがあります。

合格点は７０％以上です。

覚える必要があるキーワード例

・XSS

・CSRF

・SQLインジェクション

・OWASP Top 10

・BLE SLE ARO MTD RTO等

・バックアップテープの種類

・syslog

・トロイの木馬の種類

・ファイアウォール の種類と機能

・Nmapの基本的な使い方

・セキュリティフレームワークと法律（NIST SP-800、HIPPAなど）

・ShellShock

・WEPの脆弱性

・インシデントレスポンスの考え方

・どのポートがどのサービスに属しているか

・ハッキングフェーズの一般的な説明

・ブラックボックス、ホワイトボックス、グレーボックスの違い

・Burpsuite、kismet、nikto等の基本的な使い方

・suiteを読むことができる

・Wiresharkの基本的な使い方

・ARP

などなどです。

CEHに認定されるための職務経験

なお、EC-Council社が提供するトレーニングを受講した場合、特に求められる職務経験はありません。

独学でチャレンジする場合は、少なくとも2年以上の情報セキュリティ経験を有すること、情報セキュリティに特化した教育を受けていること、などの条件を満たしていることを、書類を提出することで証明する必要があります。（上司にサインなどをもらう必要があります）

証明できればトレーニングを受けずともEC-Councilに申請をすることにより、受験資格を得ることができます。

CEH保有者の平均年収と年収から見る考察

CEH保有者に来る求人はどれくらいの年収があるのでしょうか。

日本ですと、まだセキュリティの資格はあまり普及していないので、アメリカの求人を調べてみました。

下記の通り、年収が提示されているようです。

※1ドル115円の場合

※検索サイト：https://www.payscale.com/

やはり、マネジメント系の資格を保有していると提示年収が高くなる傾向にあるようです。

CISSPやCISMは、ポジション的にCIO補佐のような役割になりますので、当然と言えば当然かもしれないですね。

CEH保有者に来る転職求人内容

以下のような求人が、CEH保有者には来るようです。

まぁ何というか、調べてみたところあまり参考になりませんねｗ

とりあえずなんでも来るぞ！って感じでしょうか。

ポジティブにとらえるなら、求人は広く来るので、自分のやりたい仕事をえり好みできるようになる、というメリットがあるのではないでしょうか。

関連：セキュリティ人材への転職にオススメな転職サイト、転職エージェントまとめ