EC COUNCIL│CEH MASTER合格体験記
～診断・ペネトレーションテストに活きるCEH・CEH Master～

- CEHとはどのような講座でしょうか？

CEH（Certified Ethical Hacker）は、攻撃者の視点や手口を体系的に学び、それを自組織のセキュリティ対策に活かすことを目的とした国際的な認定資格講座です。「攻撃者の手口を知らなければ有効な防御は立てられない」という思想に基づいて講座が作られています。これは、泥棒の手口を知ることで家の防犯対策を強化するのと同じ理屈です。EC-CouncilはCEHを、特定の専門家だけでなく、すべてのIT技術者が最低限押さえるべき「コアスキル」の一つと位置づけています。

講座は、攻撃に関する広範な情報を体系的に集約している点に大きな価値があります。攻撃の根本的な手法は不変ですが、技術環境の変化（オンプレミスからクラウド、PCからスマートフォンへ）に伴い、内容は常に更新されています。全20モジュールで構成されており、最初の約6モジュールで偵察からシステム侵入までの一連の攻撃フェーズを学び、その後、OS、ネットワーク、Webアプリケーション、モバイル、IoT、OT、クラウドといった対象別の攻撃手法を掘り下げます。特に「SQLインジェクション」は一つのモジュールとして独立しており、詳細に解説されます。

2004年頃から約20年の歴史を持ち、現在の最新版はV13です。スマートフォンの普及に伴い「モバイルハッキング」が、クラウド利用の拡大に伴い「クラウド」が追加されるなど、時代に合わせて進化してきました。最新版のV13では、AIを攻撃に利用する手法が各所に追加されています。ポートスキャン等の自動化や、ChatGPTのような生成AIで標的型攻撃メールの文面を作成するプロンプト例などが含まれます。

5日間連続の集中講座で、講義（約60〜90分）とハンズオンの演習（ラボ、約30〜40分）を繰り返す形式で進行します。

CEHに加え、CEH Practicalという実技に関する試験が用意されており、CEH Practicalを合格することで、CEH Masterとして認定されます。CEHは知識を問われ、CEH Practicalは実践力を問われるイメージになります。

- CEHの特徴について教えてください。

CEHにはラボ環境(iLabs)が提供されており、24時間365日アクセス可能で、講座終了後も180日間利用できるため、反復学習に役立ちます。 学んだ攻撃テクニックを安全に試せる演習環境として、受講者の9割以上がその価値を高く評価しています。 詳細な手順書に沿って攻撃を再現できるほか、実験場として自由に試行錯誤することも可能です。CEH Practicalは手を動かした試験になるため、このラボ環境での学習が欠かすことができません。

前述の通り、CEHは永い歴史を持つことから、古い攻撃手法も学ぶことができます。古い攻撃手法を学ぶことは、そこから攻撃を推測していくことにつながっていきます。

ペネトレーションテストや脆弱性監査の担当者が中心的な受講対象者ですが、セキュリティ対策を企画・設計する担当者や、安全なシステムを構築する必要があるすべての開発者・運用担当者にもおすすめの講座です。TCP/IP（3ウェイハンドシェイク等）、Windows/Linux、Webアプリケーションに関する深い理解や「システム/ネットワーク構築経験3年以上」や「応用情報技術者試験合格レベル」の知識があると、より理解が深まります。

独学では収集が困難な攻撃手法の知識を、歴史的経緯も含めて網羅的・体系的に学習できること、安全なラボ環境で多様な攻撃・解析ツールに触れることで、実践的なスキルと知見が得られること、攻撃リスクを判断する視点が養われ、脆弱性のないセキュアなシステム設計・開発に直接活かすことができることが特徴です。

CEHでは知識を証明し、CEH Practicalでスキルを証明していくことになります。ぜひCEH Masterを目指して頂ければと思います。

私は2019年6月にCEHを取得し、2022年4月にCEH Masterを取得しました。私がCEHを取得した2019年にはCEH Masterの制度がまだ提供されておらず、CEH取得3年後にCEH Masterを取得することとなりました。

当社では、セキュリティ診断技術者の育成に取り組んでいます。私は2018年、それまではネットワークエンジニアでしたが、脆弱性診断などを行うチームに異動しました。脆弱性診断の技術・知識の習得方法を探していたところ、CEH（Certified Ethical Hacker）講座を知りました。

CEHはネットワーク、Web、デバイスなど幅広い分野を網羅し、診断業務について体系的に学べる内容です。講座に付帯して提供される演習環境「iLabs」では、講義で学んだ知識を演習環境で手を動かして実践できることから、理論だけでなく実践力も養うことができるため、初心者に最適な講座です。CEH Masterは実務スキルを証明する試験になっているため、iLabsでの学習がとても役に立ちました。CEH講座には半年間iLabsを利用できますが、私はiLabsの利用期間を延長し、実務で利用するスキルを中心に定期的にiLabsを利用することで、講義で学んだ知識をスキルとして維持できるように取り組みました。また、脆弱性診断業務において診断手法の検証が必要になった際にiLabsを活用することもあり、大いに役立ちました。資格は理論が中心で、知識は身に付くもののスキルは十分ではない、ということが一般的に起こり得ます。知識だけではなくスキルも習得している事を証明したいという想いがCEH Masterを取得した動機の1つにもなっています。

現在、私は分析技術チームのリーダーとして、脆弱性診断・ペネトレーションテストおよびエンドポイントセキュリティを担当するチームを率いています。

当社では、脆弱性診断を、新システム導入やシステム変更時などに行っています。脆弱性診断はプラットフォーム診断、Webアプリケーション診断に加え、診断結果のリスク評価・改善策の提言まで行っており、CEHで得た知識・スキルが基になっています。CEHは、対一般的なサーバ・クライアントシステムだけでなく、OTシステム、IoTデバイス、モバイルデバイス、クラウドなど、幅広い設備をカバーしたモジュールが用意されています。また、攻撃技術についても、スキャン行為や認証攻撃等のサーバ侵入に関する手法だけでなく、スニッフィング（パケット解析）や中間者攻撃などのネットワーク関する手法も学ぶことができました。当社はITシステムに加えて、OTシステムなど多様な機器を保有しているので、CEHで習得した広範な知識・スキルが大いに役立っています。

大規模なペネトレーションテストは専門の診断会社に委託しておりますが、テストの計画や対策立案は当社が行います。診断会社のペネトレーションテスト報告書の内容を正確に理解するには、攻撃成立の前提条件、影響範囲、既知の脆弱性情報(CVE)の概要などを把握する必要があり、CEHレベルの知識が不可欠です。時には診断会社の経験豊富なペンテスターの方と、診断結果の内容について確認・議論することもありますが、身に着けた知識・スキルのおかげで中身の濃い議論ができました。また、私が診断結果を開発部署など社内関係者に伝える際は、診断対象システムの業務用途を理解したうえで、技術的な診断結果内容を元に発見した業務上のリスクや対策案について、相手の理解度を確認しながら説明を行っています。報告書を関係者に渡すだけでは開発部署に十分理解されず、セキュリティへの関心も高まりません。

当社では、CEH取得者が中心となって、診断結果を元に対象システムで顕在化しうる業務上リスクが何であるかを見極め、適切な対策を指導・助言する役割を果たしています。このようにCEHの知識はペネトレーションテストに不可欠であり、チーム全員にCEHの取得を推奨しております。

CEH MasterはCEHでの学びを「確認するための試験」であり、iLabsで学んだ内容が実践できるかを問われます。私はiLabsを3周はしたと思います。CEH Practicalの試験時にはテキストやノート、インターネットを参照することができるため、iLabsのシナリオをHTML形式で保存し、Excel表でコマンドを整理して用意しておくことで、効率的に試験を進めることができました。CEH Master合格にはiLabsをしっかりやりこみ、スキルとして身に着けておくことが欠かせません。

CEHはセキュリティ未経験者がサイバー攻撃に関する技術の全体像を把握するために最適であり、網羅性が強みです。CEH Masterは、知識はあるが実務に自信がない人にとっても、スキルを証明するために有効です。セキュリティに携わる方はぜひ受講をおススメいたします。