情報セキュリティの世界において、攻撃者の視点を理解し、防御を強化するスキルはますます重要性を増しています。その中でも、EC-Councilが提供するCEH(Certified Ethical Hacker)資格は、ホワイトハッカーとしての知識と技術を証明する国際的な認定資格として広く知られています。さらに、実技試験であるCEH Practicalに合格することで、理論だけでなく実践的なスキルも兼ね備えたことが証明され、CEH MASTERの称号が与えられます。
本記事では、私がCEHおよびCEH Practicalに合格し、CEH Masterとなるまでの経験を、試験対策や当日の様子、そして合格後に感じた変化とともにご紹介します。これからCEHを目指す方や、情報セキュリティ分野でキャリアアップを考えている方にとって、少しでも参考になれば幸いです。
CEH、CEH Practical、CEH MASTERは、EC-Councilが提供する情報セキュリティ分野の国際的な認定資格です。CEHはCertified Ethical Hackerの略称であり、その名の通りホワイトハッカーとして攻撃手法を理解し、防御策を講じるスキルを問われます。
CEHは知識を問われる選択式の試験、CEH Practicalは実践力を問われる実技の試験、そして、CEHとCEH Practicalの両方に合格すると、自動的にCEH MASTERの称号が与えられます。
各試験の詳細は以下の通りです。
|
|
CEH |
CEH Practical |
|
目的 |
セキュリティに関する理論知識の証明 |
実際の攻撃・防御スキルの証明 |
|
試験形式 |
多肢選択式、125問 |
実技課題、20問、オープンブック |
|
試験時間 |
4時間 |
6時間 |
|
出題内容 |
攻撃手法、ツール、セキュリティ理論など |
実際のツール操作、脆弱性の発見・利用など |
|
試験環境 |
オンラインまたはテストセンター |
オンラインでiLabsを利用 |
|
合格基準 |
約70%前後(非公開) |
14問以上 |
|
言語 |
日本語 |
英語 |
|
特徴 |
理論中心で広範囲から問われる |
実践力と時間管理が求められる |
CEH Practicalは、iLabs(アイラボ)と呼ばれる仮想環境を使用する実技試験です。受験者はWebブラウザ上の1つの画面内で、WindowsやLinuxなど複数の仮想マシンを切り替えながら操作を行う形式となっています。
また、CEH Practicalはオープンブック形式で実施されるため、試験中にテキストやノートを参照したり、インターネットで情報を検索しながら解答することが可能です。
CEHおよびCEH Practicalの学習において、私は専門の外部講座を受講しました。プロの講師による5日間の集中講義では、試験範囲に含まれる攻撃手法を体系的に学ぶことができ、ハンズオン形式の課題も豊富に用意されています。
この講座は、日本語によるテキストと解説を受けられる唯一の方法であり、試験と同じiLabs環境を使用できる点も大きなメリットです。効率的に学習を進めたい方には、本講座を受講するのも選択肢の一つだと思います。
CEHでは、攻撃手法、セキュリティツール、ネットワークの基礎、マルウェア、Webアプリケーション攻撃など、幅広い分野から出題されます。私は講座で配布されたテキストをベースに学習を進めましたが、分量が多いため、理解できている部分は流し読みし、曖昧な箇所を重点的に復習しました。
学習のコツは、攻撃の一連の流れを意識することです。たとえば、「フットプリンティング → スキャン → 列挙 → 脆弱性分析 → システムハッキング」という流れを把握しておくと、自分が今どのフェーズを学んでいるのかが明確になり、理解が深まりやすくなります。
CEH Practicalは、iLabs上で実際にツールを使って課題を解く実技試験です。CTF(Capture The Flag)やGIACの実技試験をイメージすると分かりやすいでしょう。私は試験対策として、iLabsを使ってひたすら手を動かしながら学習しました。
特に重要なのは、iLabsに用意された200以上のシナリオを一通り解いておくことです。時間の制約上、講座中に体験できるのは一部のみですが、実際の試験もiLabsを使用するため、操作感に慣れておくことが合格の鍵となります。また、多くのセキュリティツールが登場するため、実際に触れておくことで理解が格段に深まります。私はiLabsを3周しました。
また、CEH Practicalはオープンブック形式で、テキストやノート、インターネットの参照が可能です。しかし、試験中に調べる時間は限られているため、私はExcelでラボのタスクや使用ツールを整理し、独自のインデックスを作成しました。試験中は、問題に出てくるキーワードをこのExcelで検索し、該当するラボを特定して、手順を参考にしながら解答を進めました。
CEHの筆記試験は、試験センターで受験しました。過去に試験センターでの受験経験がある方であれば、流れはほぼ同じなので、特に戸惑うことはないと思います。試験内容としては、比較的シンプルな問題が多く、迷うことなくスムーズに回答できた印象です。
CEH Practicalはオンライン試験のみのため、自宅で受験しました。試験開始前には、試験監督者(プロクター)とのやり取りがあり、すべて英語で進行します。英会話に不安がある場合は、チャット形式での対応も可能です。試験前には注意事項の説明を受け、身分証の提示や部屋の撮影などが求められます。私の試験環境は以下のように整えました。
テーブルを部屋の真ん中に置き、テーブルの上には余計なものは置かないようにしました。試験中はマルチモニターや外部との連絡は禁止で、常にカメラをオンにしておく必要があります。試験前に入念に準備しておくとよいでしょう。私はこの環境で特に指摘を受けることはありませんでしたので、参考にしてみてください。
CEH Practicalの問題は、iLabsで取り組んだ内容と同程度の難易度です。iLabsをしっかり学習していれば、落ち着いて対応できるはずです。ただし、スキャンに時間がかかる問題もあるため、スキャン中に他の問題を並行して進めるなど、時間配分を意識することがポイントです。
結果的に、CEHとCEH Practicalの対策にはそれぞれ約1カ月ずつ取り組み、無事に合格することができました。CEHだけでは「知識がある」ことの証明にとどまりますが、CEH Practicalを通じて「実際に手を動かせる」スキルも証明されます。そのため、CEH MASTERの称号は、理論と実技の両方を兼ね備えたセキュリティ人材であることを示す強力な証明となり、自分のスキルに対する大きな自信にもつながりました。
また、試験対策を通じて多くの攻撃手法やセキュリティツールを実際に使いこなせるようになり、攻撃者の視点で物事を考える力が身につきました。この視点は、セキュリティ設計やシステム構築、運用の場面でも非常に役立っており、日々の業務に直結する実践的な力となっています。
CEH Masterの取得は、私にとって大きな達成感をもたらすと同時に、次なる学びへの意欲を高めてくれる経験となりました。実際に手を動かし、試行錯誤を重ねながら得た知識と経験は、今後のキャリアにおいて確かな武器になると確信しています。
情報セキュリティの世界は日々進化しており、学びに終わりはありません。今後も継続的に学習を重ね、単なる知識の習得にとどまらず、実践を通じてスキルを深めていきたいと考えています。
これからCEHに挑戦しようとしている方、あるいは情報セキュリティ分野でキャリアアップを目指している方にとって、この体験記が少しでも背中を押すきっかけになれば幸いです。