こんにちは!
今回はCEH(認定ホワイトハッカー)試験について解説していきます。
昨今のサイバー攻撃に対応していくために、このページをご覧の方々は、様々な情報セキュリティに関する勉強をされているかと思います。
きっと資格を取られている方が多く、情報処理安全確保支援士(情報セキュリティスペシャリスト)やCISSPなど持っている方も多いのではないでしょうか。
これらの資格は、どちらかと言えばシステムを運用する側の視点に立った資格です。
CEHは、攻撃者として、どのようにシステムを攻撃していくかという視点に立った資格で、日本で受験できるほかの資格にはあまりないものです。
攻撃者の視点、運用者の視点、どちらも勉強することで、今まで気づかなかった新たな視点でセキュリティを考えていくことができるのではないでしょうか。
今回は、そんなCEH(認定ホワイトハッカー)試験について、解説していきたいと思います。
関連:内部監査とはどんな仕事か
関連:セキュリティを仕事にしたい人が絶対に読むべきオススメ書籍まとめ
目次
認定ホワイトハッカー試験に関する解説
認定ホワイトハッカー試験(CEH)とは
CEHは米国EC-Council(国際電子商取引コンサルタント協議会)社が提供する認定資格です。
・NWスキャン
・OSスキャン
・脆弱性を分析し
・システムにハッキング
・またはWebアプリケーションにハッキング
などのハッキング技術を倫理的に実証できることを証明するための試験です。
試験時間は6時間!(長い!)
関連:セキュリティ人材への転職やスキルアップにオススメな資格まとめ
CEH試験の出題範囲
・ホワイトハッキングとは
・フットプリティング(事前調査)
・ネットワーク脆弱性スキャン(OSやユーザに関する脆弱性を洗い出す)
・脆弱性の列挙
・システムハッキング(ステガノグラフィー、ステガナリズム攻撃、カバートラックも)
・マルウェアの使用(システムを悪用するウイルス、コンピュータワーム、マルウェアを使う)
・パケットスニッフィング
・WEBへの攻撃(ディレクトリトラバーサル、パラメータ改ざん、XSSなど、さまざまなWebサーバー攻撃およびWebアプリケーション攻撃)
・SQLインジェクションを実行する
・暗号を解読する
などです。全部で18のモジュールがあります。
合格点は70%以上です。
覚える必要があるキーワード例
・XSS
・CSRF
・SQLインジェクション
・OWASP Top 10
・BLE SLE ARO MTD RTO等
・バックアップテープの種類
・syslog
・トロイの木馬の種類
・ファイアウォール の種類と機能
・Nmapの基本的な使い方
・セキュリティフレームワークと法律(NIST SP-800、HIPPAなど)
・ShellShock
・WEPの脆弱性
・インシデントレスポンスの考え方
・どのポートがどのサービスに属しているか
・ハッキングフェーズの一般的な説明
・ブラックボックス、ホワイトボックス、グレーボックスの違い
・Burpsuite、kismet、nikto等の基本的な使い方
・suiteを読むことができる
・Wiresharkの基本的な使い方
・ARP
などなどです。
CEHに認定されるための職務経験
なお、EC-Council社が提供するトレーニングを受講した場合、特に求められる職務経験はありません。
独学でチャレンジする場合は、少なくとも2年以上の情報セキュリティ経験を有すること、情報セキュリティに特化した教育を受けていること、などの条件を満たしていることを、書類を提出することで証明する必要があります。(上司にサインなどをもらう必要があります)
証明できればトレーニングを受けずともEC-Councilに申請をすることにより、受験資格を得ることができます。
CEH保有者の平均年収と年収から見る考察
CEH保有者に来る求人はどれくらいの年収があるのでしょうか。
日本ですと、まだセキュリティの資格はあまり普及していないので、アメリカの求人を調べてみました。
下記の通り、年収が提示されているようです。
CISSP:$ 108,000(約1200万円)
CEH:$ 89,000(約1000万円)
GIAC:$98,000(約1100万円)
CISA:$98,000(約1100万円)
CISM:$121,000(約1400万円)
※1ドル115円の場合
※検索サイト:https://www.payscale.com/
こう見ると、あれ・・・あんまり高くない?(いや十分高いんだけどさ!)となりますね。
やはり、マネジメント系の資格を保有していると提示年収が高くなる傾向にあるようです。
CISSPやCISMは、ポジション的にCIO補佐官のような役割になりますので、当然と言えば当然かもしれないですね。
よって、年収から見る考察としては、これらの資格を持っていない人は、先にCISSPやCISMを受験したほうが良いと当ブログでは考えます。
CISSPやCISMを持っていて「マネジメントはOK!」となっている人が、+αのスキルアップとしてCEHを保有するというのがベストプラクティスではないでしょうか。
CEH保有者に来る転職求人内容
以下のような求人が、CEH保有者には来るようです。
情報セキュリティアナリスト(マネジメント系)
サイバーセキュリティアナリスト(サイバー系)
セキュリティエンジニア(現場で実装する系)
ペネトレーションテスター(脆弱性診断系)
セキュリティマネージャー(CIO、CISO系)
まぁ何というか、調べてみたところあまり参考になりませんねw
とりあえずなんでも来るぞ!って感じでしょうか。
ポジティブにとらえるなら、求人は広く来るので、自分のやりたい仕事をえり好みできるようになる、というメリットがあるのではないでしょうか。
関連:セキュリティ人材への転職にオススメな転職サイト、転職エージェントまとめ
合格するための勉強方法
資格取得のセミナーに参加する方法と、独学で勉強する方法があります。
セミナーに参加する場合
GSX社や代理店に申し込んで試験を受験します。
EC-Councilセキュリティエンジニア養成講座CEH( 認定ホワイトハッカー)
独学で勉強する場合
こちらの参考書と問題集で、筆者は勉強しました。
CISSPなども同様ですが、Kindleで購入すると日本語翻訳ができるので、何とかそれで・・って感じですが。。
勉強時間
勉強時間は、250時間程度でした。
職務として、脆弱性診断などを実施したことがある方はもっと少ない時間で行けるのではないでしょうか。
筆者は経験がありませんでしたので、参考書を読んで、自分でツールをダウンロードしてきて、試してみるということを行っていたら、結構時間がかかってしまいました。
コメントを残す