こちらの記事では、CEH(認定ホワイトハッカー)試験について、合格に向けた勉強方法などを解説しています。
オリンピックなどもあり、今、日本はかつて無いほどサイバー攻撃のターゲットとなっています。
攻撃も多く観測されており、セキュリティ人材に対するニーズはますます高まっています。我々としてはある意味チャンスなのかもしれません。
このページをご覧の方々は、様々な情報セキュリティに関する勉強をされているかと思います。
情報処理安全確保支援士(情報セキュリティスペシャリスト)やCISSPなどいろいろな資格があるとは思いますが、今回は、CEH(認定ホワイトハッカー)試験について、解説していきたいと思います。
関連:内部監査とはどんな仕事か
関連:セキュリティを仕事にしたい人が絶対に読むべきオススメ書籍まとめ
目次
結論:合格するための勉強方法とは
結論から申し上げますと、合格するためには資格取得のセミナーに参加する方法と、独学で勉強する方法があります。
セミナーに参加する場合
GSX社や代理店に申し込んで試験を受験します。
EC-Councilセキュリティエンジニア養成講座CEH( 認定ホワイトハッカー)
50万円ほどしますが、セミナーに会社費用で参加などできる場合は参加するべきでしょう。
セミナーに参加させてもらえないといった場合や、セミナーに参加してしまうと資格取得の奨励金がもれなくなってしまう!といった事情がある方については以下の独学の勉強をしましょう。
ちなみに、筆者は独学で勉強して合格しました。
独学で勉強する場合
まず、試験対策としてはこちらの問題集の購入をおすすめします。
筆者はこちらの問題集で合格しました。
個人的に英語力はいまいちなのですが・・・まぁ翻訳などを駆使してなんとかなりました。
上記の問題集を解くだけではなく、英語版になりますが、Kindle Unlimitedに登録すると以下の参考書が無料で購読でき、演習に対してかなり参考になりました。
また、CEHをこれから受験しようか悩んでいる方に向けては、CEHがどのような試験なのかをわかるためにも良い書籍なのではないかと思いました。
まだKindle Unlimitedの無料キャンペーンを利用していない場合は、おすすめですから購読してください。
著者:Dr. Hidaia Mahmood Alassouli
書籍名:Certified Ethical Hacker (CEH) Course (English Edition)
・Part 1: Hacking Lab Setup
・Part 2: Foot printing and Reconnaissance
・Part 3: Scanning Methodology
・Part 4: Enumeration
・Part 5: System Hacking
・Part 6: Trojens and Backdoors and Viruses
・Part 7: Sniffer and Phishing Hacking
・Part 8: Hacking Web Servers
・Part 9: Hacking Windows and Linux Systems
・Part 10: Wireless Hacking
・Part 11: Hacking Mobile Applications
Kindle Unlimitedの30日無料登録ページはこちら
※無料キャンペーンに参加できない人も今なら、2ヶ月で299円とのこと。
勉強時間
勉強時間は、250時間程度でした。
職務として、脆弱性診断などを実施したことがある方はもっと少ない時間で行けるのではないでしょうか。
筆者は経験がありませんでしたので、参考書を読んで、自分でツールをダウンロードしてきて、試してみるということを行っていたら、結構時間がかかってしまいました。
認定ホワイトハッカー試験(CEH)とは
CEHは米国EC-Council(国際電子商取引コンサルタント協議会)社が提供する認定資格です。
・NWスキャン
・OSスキャン
・脆弱性を分析し
・システムにハッキング
・またはWebアプリケーションにハッキング
などのハッキング技術を倫理的に実証できることを証明するための試験です。
試験時間は6時間!(長い!)
関連:セキュリティ人材への転職やスキルアップにオススメな資格まとめ
CEH試験の出題範囲
・ホワイトハッキングとは
・フットプリティング(事前調査)
・ネットワーク脆弱性スキャン(OSやユーザに関する脆弱性を洗い出す)
・脆弱性の列挙
・システムハッキング(ステガノグラフィー、ステガナリズム攻撃、カバートラックも)
・マルウェアの使用(システムを悪用するウイルス、コンピュータワーム、マルウェアを使う)
・パケットスニッフィング
・WEBへの攻撃(ディレクトリトラバーサル、パラメータ改ざん、XSSなど、さまざまなWebサーバー攻撃およびWebアプリケーション攻撃)
・SQLインジェクションを実行する
・暗号を解読する
などです。全部で18のモジュールがあります。
合格点は70%以上です。
覚える必要があるキーワード例
・XSS
・CSRF
・SQLインジェクション
・OWASP Top 10
・BLE SLE ARO MTD RTO等
・バックアップテープの種類
・syslog
・トロイの木馬の種類
・ファイアウォール の種類と機能
・Nmapの基本的な使い方
・セキュリティフレームワークと法律(NIST SP-800、HIPPAなど)
・ShellShock
・WEPの脆弱性
・インシデントレスポンスの考え方
・どのポートがどのサービスに属しているか
・ハッキングフェーズの一般的な説明
・ブラックボックス、ホワイトボックス、グレーボックスの違い
・Burpsuite、kismet、nikto等の基本的な使い方
・suiteを読むことができる
・Wiresharkの基本的な使い方
・ARP
などなどです。
CEHに認定されるための職務経験
なお、EC-Council社が提供するトレーニングを受講した場合、特に求められる職務経験はありません。
独学でチャレンジする場合は、少なくとも2年以上の情報セキュリティ経験を有すること、情報セキュリティに特化した教育を受けていること、などの条件を満たしていることを、書類を提出することで証明する必要があります。(上司にサインなどをもらう必要があります)
証明できればトレーニングを受けずともEC-Councilに申請をすることにより、受験資格を得ることができます。
CEH保有者の平均年収と年収から見る考察
CEH保有者に来る求人はどれくらいの年収があるのでしょうか。
日本ですと、まだセキュリティの資格はあまり普及していないので、アメリカの求人を調べてみました。
下記の通り、年収が提示されているようです。
CISSP:$ 108,000(約1200万円)
CEH:$ 89,000(約1000万円)
GIAC:$98,000(約1100万円)
CISA:$98,000(約1100万円)
CISM:$121,000(約1400万円)
※1ドル115円の場合
※検索サイト:https://www.payscale.com/
やはり、マネジメント系の資格を保有していると提示年収が高くなる傾向にあるようです。
CISSPやCISMは、ポジション的にCIO補佐のような役割になりますので、当然と言えば当然かもしれないですね。
CEHを保有していると転職がどのように有利になるのか
CEHという資格は、セキュリティの上位資格であることから、やはり市場価値が高いようです。
エージェントや求人情報を確認していると募集要項に「CEHを取得しているとなお良い」と記載された求人が多く来るようになりました。
具体的には、セキュリティコンサル系、技術系の求人、ITコンサル系の求人に顕著にみられますので、これらにキャリアップをしたい場合は、CEHは特に有利に働くのではないかという印象です。
しかしそれだけではなく、事業会社の求人でも「CEHやCISSPを取得している方を探している」という求人が来ることがあり、事業会社に転職を考える方にとっても有意義な資格であるように見えます。
ちなみに、この転職の求人が来るというのが個人的にはかなりモチベーションになりました。
まだ転職サイトに一度も登録したことがない人がいましたらハイクラスの求人が集まっている転職サイトに、登録してみることをオススメします。
そして職務経歴書に「保有資格CEH」などと記載してみてください。ヘッドハンターから「あなたのCEHとしての活動経験に着目しました!!」というオファーメッセージが多く来ることにびっくりするはずです!
なお、すぐに転職する気はないけど、どれくらい自分の市場価値が高まるかを確認したい場合は、以下のジョブクルアプリがおすすめです!
アプリダウンロードして、5分で登録が完了しますし、すぐに求人が来るようになりますから、とても結果がわかりやすいです。
まだ使ったことがない方は、ぜひ試してみてください。
はじめまして。
現在外国語学部で英語を専攻している所謂、ド文系大学生です。
4月から3回生となり、何か一つシステム関係の資格を取れないかと調べていた際こちらの記事に辿り着きました。非常に分かりやすくまとめられた記事で、セキュリティに関して無知な私でも試験についての概要などを理解出来ました。
そこで質問なのですが、所謂文系で全くセキュリティに知識の無い人間でも試験に合格出来るものなのでしょうか?
努力次第なのは勿論理解しているのですが、試験を受ける方の大半は専攻分野が情報系?といった感じの方々なのでしょうか?
こんにちは。
この資格の難易度は、経路は違いますがIPAの情報セキュリティスペシャリスト相当か、それ以上とお考えください。
よって、当然セキュリティに知識がない人間は合格できません。私の周りで本試験に合格している人間の属性としては、以下のような人間です。
なお、大学の専攻は関係ありません。
・情報セキュリティに関する職務経験が最低でも5年以上(必須)
・脆弱性診断技術者
・外資系セキュリティベンダー
よって、まずは資格取得というよりも例えば「CTF 入門」等と検索することから初めて
セキュリティ技術について触れてみることからされていはいかがでしょうか?
または、「connpass セキュリティ」などと検索して、無料のセキュリティに関する勉強会に参加してみるのも良いかもしれません。
なお、外国語大学で英語に対する理解があるというのはセキュリティでは非常に優位です。
なぜなら、本試験に限らず、最新の知見の多くは英語だからです。
失礼します。学生なのですが、ネットワークや情報の高等専門学校で勉強し、情報系の会社につき、取得の勉強をしたら取得できるようなものですか?、。まだ考えが浅はかで初歩的な質問でしたらすいません
こんにちは、コメントありがとうございます。
私が、あなたに対して「学生では無理です」という理由はないかと思います。
大切なのは、面白いと感じるかどうかではないでしょうか。
面白ければ例えばゲーム等と同じように、苦もなく長い時間集中して取り組むこともできますからね。
まずは、この試験の内容がどんなものなのか、知的好奇心的に面白いと感じるのか、kindleの無料書籍などもあるのでチェックしてみることから初めてはどうですか?