日記帳

WE NEED メーデー 睡眠を!

GIAC (GCFA) に合格した

security

これはなに

はじめに

2月末にSANSのトレーニングを受講し、この6月にGCFAというGIACのフォレンジック系の資格試験に合格しました。試験のポリシー上どのような問題が出るか等を公にすることはできないのですが、そもそもGIAC試験に関する情報が(日本語で)あまり無いように思えたので、スケジュールや勉強法等の公開できる情報を備忘録として残します。

きっかけ

  • SANS FORENSICS 508を受講することになる
  • 幸い会社が費用負担してくれたものの、その際の条件がGIAC受験だった

勉強方法

フォレンジック/IRの実務経験は、当然あるに越したことは無いでしょうがSANS FORENSICS 508を受講していれば無くても特に問題にならないと思います。この講義ではインシデントレスポンスの基本的な考え方から、フォレンジックの進め方に至るまで詳しく解説されますので、講義内容を理解することが試験へ合格する近道ともなります(SANSの回し者っぽい言い回しになってしまった)。 また英語スキルについてですが、個人的には辞書を持ち込まなくても対応可能な内容でした。英語に自信を持てない場合は辞書の持ち込むといいと思います(英語を読めずに不合格になるのは勿体無いので)。

GIAC試験はSANSの講習を受講後、4ヶ月以内に受験する必要があります。受講2ヶ月間何もしていなかったため、GWに集中的に復習を行って試験に臨むという計画を立て、実際は以下のような流れで勉強を進めました。

  • 5月1週~2週 : SANS FORENSICS 508 のワークブック復習
  • 5月3週 : 模試受験(1回目)、得点率の低い分野と自信のない分野の復習
  • 5月4週 : 模試受験(2回目)、得点率の低い分野と自信のない分野の復習
  • 6月4日 : GIAC受験、合格

具体的に復習をどのように行ったかと言えば、ひたすらワークブックを読み込んでいただけです。SANSのワークブックはスライドとテキストでの説明が記載されていますが、トレーニング内ではスライドの内容を中心に解説が進められます(少なくとも私が受講したときはそうでした)。そのため、テキスト部分を中心に読み込んでいきました。また、ワークブックを読み込むのと並行して、トピックごとに付箋で見出しをつけていました。なお、ワークブックの末尾にはインデックスも用意されていますが、何回も登場する単語に関しては出てきた箇所のページ番号が全て記載されていて使いにくい印象を受けました。知識を定着させる意味でも実際の使い勝手という意味でも、末尾のインデックスに頼らずにワークブックのどこに何が書かれているか把握できるようにしておくことをお勧めします。

ちなみに最初の模試受験時に見出しを作らないで挑んだところ得点率58%とかなり厳しい結果になりました(この時点でかなり心は折れていた)。その後復習と見出し作成を進め、2回目の模試では得点率72%までスコアを上げています(なお、この得点率は合格ボーダーぎりぎり)。

4ヶ月の猶予を有効に使いたいという方は、ぜひ GIACの公式ページに掲載されている勉強方法を実践してください。

試験本番

GIACはテストセンターで実施されます。受講前の手続き等があり試験開始の15分前には会場入りするよう案内があったため、1時間ほど前から会場最寄りの喫茶店で復習しながら時間を潰していました。試験会場では顔写真付きの身分証明書2点の提示を求められます。私はパスポートと免許証を提示しました。受験申込完了時に送られてくるメールも持ってこいと指示されていましたが、こちらを見せる場面はありませんでした。当然ですがここに書いてある通りの動き方をして受験できなくても責任を取れないので、当日の動き方や持ち物についてはちゃんと公式ページも読んで自分で確認してください

受付での手続きが終わると会場へ持ち込む荷物以外をロッカーにしまい、会場のスタッフが持ち物検査を行います。GIACではテキストやノート等の持ち込みが認められているので、堂々と持ち込みましょう。文句を付けられるのが怖い人はGIACの試験ポリシーのページを印刷して、"Open Book Guideline"の箇所にマーカーを引いて持っていきましょう。私はワークブック全4冊とSANSが発行しているポスターをA4サイズに縮小印刷したものを持ち込みました。模試の問題を持ち込むことは認められていないので、その点だけご注意ください。持ち込もうとしても入り口で没収されると思います。

持ち込んだポスターはこちら

Windows Forensics Analysis

www.sans.org

Hunt Evil

www.sans.org

実際に試験を受けるスペースは結構せまく、ワークブック1冊広げるスペースがやっとという感じです。試験そのものはマウスで選択肢を選んでぽちぽ進めていくものなので、キーボードとかも気にしないでガバッと参考資料を広げてしまっていいと思います。試験中は復習時に自作した目次を頼りにして出てきた問題に関する記述を探す作業を行っていました。すごい勢いで紙をめくっていたため、両隣の方には大層な迷惑をかけてしまった気がします。最後の問題を解くとしばらくして画面が更新され、その場で合格/不合格がわかります。

f:id:mot_skmt:20190625000422p:plain
試験結果
最終的には、得点率80%で無事に合格することができました。

なおこの試験は10問まで問題をスキップして解くのを後回しすることができます。私は利用しませんでしたが、他の問題を解いているうちに関連するトピックに辿り着いて解けた、なんて話もあるようなので有効に活用してください。また途中休憩を取ることもできますが、休憩を取得する前にスキップしている問題を全て片付けておく必要があるそうです。

スケジュール

ここではGIAC全体に関わるスケジュールについて触れます。 先に書いたように、GIACは様々な時間的制約があります。代表的な物だけ抜粋して記載します。

  • GIAC試験はSANSトレーニング受講後4ヶ月(120日)以内に受験する必要があります
  • 試験に合格できなかった場合、受験期限終了後30日以内に再受験の申込が可能です。再受験に申し込むと受験期限が60日間延長されます。また、1回目の受験と2回目の受験の間は30日間空ける必要があります。
  • GIACに関するスケジュールはすべてGMTグリニッジ標準時)で表示されます

再受験/受験期限の延長により発生する費用は個人で負担するにはまぁまぁ重く、組織(会社)に負担させるには説明するのが面倒なくらいな金額になっています。基本的には一発合格を目指して取り組むべきものかと思います。

おわりに

一定の権威を持つ資格試験に合格できたというのは自信になりますし、勉強した成果が出たものだと素直に受け止めています。同時に、更新が面倒で堪らないが会社の資格要件に入っているので仕方なく保持してきた情報なんとか支援士はGCFAを取得したことでもういらない子かな、という気持ちになっています(GIACの資格更新も結構大変)。なお、GCFAに合格しましたが特にフォレンジックに関わる業務をする予定は今のところありません。使わないと知識は抜け落ちていきますしツールのアップデートも著しい世界なので、個人で頑張ってやっていかないとなぁという感じになっています。