※本記事は、2019年12月時点の情報をもとに執筆しています(2023/10/18 追記)。

CEH (EC-Council Certified Ethical Hacker) はホワイト(ハット)ハッカーに必要な攻撃の技術のみを総合的かつ体系立てて学んでいることを証明する国際的な資格です。

2018年に脆弱性解析、IoTハッキングの2モジュールが加わり、学習が必要なモジュールは20に増えました。今回はCEH v10 の受験体験とその注意点をお伝えします。

CEHになるためには

今回お伝えするのは、CEHの公式コース(5日間)を受講した後の受験準備についてです。
※CEH の詳細についてはこちらをご覧ください。

まず試験の申込については別途提示がある手続きに従って申込を行います。試験バウチャーは公式コースを受講終了後、所定のアンケートを記載することで入手可能となります。忘れずに入手してくささい。

試験スケジュールは公開後、比較的早い段階で埋まってしまうようです。そのため受験の日程が確定次第、速やかに手続きをされるとよいでしょう。

※試験の詳細はこちらをご確認ください（外部リンク）。

公式コース受講後から認定試験まで

私の場合、業務都合で受講から受験まで6カ月空いてしまいましたが、余裕のある方は出来るだけ早い受験をお勧めします。

勿論、コース受講後の復習やコース内で気づいたご自身の弱点克服のための追加学習の時間確保が出来ることが重要です。コースを受講すれば受験される方から見た難易度が把握できますので、その結果をもとに追加で必要な学習ボリュームを想定してください。

試験バウチャーの有効期間は１年間ですのでバウチャーが無駄にならないよう日程を確定してください。尚、不合格の場合、再受験料は8万円【※2019/12現在】と決して安くはないので出来れば一回で合格したいところです。

学習すべきモジュールは全部で20モジュールありますので、各モジュールごとにコース受講時点で自分の得意領域、不得意領域を改めて見極め、受験までの学習計画を効率よくプロットしていくと効率がよいです。

次に学習時に気がついた点を付記します。

CND (Certified Network Defender) との関係

EC-Council では CND (Certified Network Defender:認定ネットワークディフェンダー）の認定コースも提供しています。

CND は守る側として必要な知識を問う資格ですが、CEH 内では CND を理解していることが前提で出題される問題もあります。
(参考情報: CEHとCNDの学習モジュール 出典：グローバルセキュリティエキスパート株式会社)

そのため、いきなり CEH を目指すのはハードルが高いと感じられている方は、是非、最初のターゲットを CND して頂き、経験を積んだ後、CEH を目指すとよいでしょう。

CEH認定試験では認定コースのテキストに記載が無くてもホワイト(ハット)ハッカーとして知っていて当然といったものも問われます。そのため、ネットワーク、サーバ、クラウド等、昨今のシステム全般に関する正しい基礎知識は持ち合わせておくことは必須です。

※出題範囲（blueprint）については、こちらをご確認ください。（外部リンク）

認定コーステキストでの学習方法

大変分厚いテキストが３冊配布されますが、持ち歩きで挫折しそうな方は受講時に期間限定で提供される電子テキストを利用するとよいでしょう。タブレット端末やスマホでも閲覧が可能ですので通勤時の隙間時間を有効に活用出来ます。
私は復習に当たってテキスト中、太字や色を変え記載されている箇所は何らかの意図で強調している箇所だと考え、注意して読むようにしました。また、各モジュール最後のモジュールサマリーも必読です。

認定コーステキスト以外の公式コンテンツ

CEHの試験問題は当然のことながら非公開ですが、EC-Council では CEH を受験される方向けに、EC-Council はオンラインで無料のアセスメントテストを用意しています。

実際の試験では125問出題されますが、アセスメントテストで50問受けることが出来ますので腕試しには最適です。
全問英語で出題されますので Google 翻訳などをうまく利用しながら受験されるとよいでしょう。

CEH Assessment - EC-Council（外部リンク）

勉強会を利用する

資格試験勉強は時として孤独な戦いになりがちです。そんな中、モチベーションの維持のため、同じ目標に向かって情報交換可能な仲間がいることは心強い時もあります。

下記は、CEHの資格フォルダーの方がボランタリーで実施されている勉強会です。
開催されるタイミングは公式コースの最終日に開催されることが多いようですので、お時間の許す方は参加されてみては如何でしょうか。開催日については Connpass で告知があります。

CEH StudyGroup

試験当日

試験１週間前に事務局から、注意事項を記したメールが届きます。
必ず、記載内容を確認し、受験前日までに必要な作業を終えてください。当日準備が不十分な場合、受験が出来なくなる可能性があります。

試験は事務局側で用意したPCを使用しオンラインで行いますが、ログインがうまくいかない場合には、受験者自身で EC-Council のセンターにチャットで問い合わせする必要があります（英語）。
その為、事前に自分のPCで試験で使用する Username と Password でログインが出来ることを確実に確認しておくことをお勧めします。

また、受験時のスマートウオッチ着用は禁止ですが、受験用の PC をみれば時間はわかりますので、新たに単機能の腕時計を購入しておく必要はありません。
メールに記載がある携行品も忘れないようにしましょう。

合否発表

試験時間は4時間ですが、全125問の回答を終え、見直しも不要となった時点で回答の提出が可能です。私の場合、見直しも含め2時間程度で提出しました。

試験結果はその場で分かりますが、少し間がありました。一瞬ドキドキ感が味わえます。

もし再受験するならどのような勉強をするか

今回は無事合格出来ましたが、もし再受験の機会が頂けるのであれば追加で勉強する箇所はどのあたりか考えてみました。

• エクスプロイト（攻撃）の種類
  古今のエクスプロイトの名前とその対象や動作の特徴などを紐づけをもっと網羅的に出来ていればよかったと感じました。特に歴史的に意味のあるものも数多くありますので、古いものでも理解しておく必要があります。
  
  
• 各種ガイドラインの更なる読み込み
  登場するガイドラインについての概要は理解しているものの、記載されている内容などかなり細かい点を指摘した設問への対応も必要と感じました。
  
  
• 基礎の中の基礎
  常識だと思われる内容も試験問題として出されると回答に迷う場面がありました。例えばプロトコル毎の暗号アルゴリズム等の紐づけが曖昧な状態にならないよう押さえておくとよいと思います。
  
  

最後に

今回のCEH 資格取得体験談、参考になりましたでしょうか。
CEH (とCND)は認定されればそれで終了ではありません。資格維持のため、年会費の支払い(現在80米ドル)とECEクレジット(3年間で120クレジット)の取得が必要です。ECEクレジットはセキュリティ啓発活動に対して付与されますので、セキュリティ勉強会の企画や参加、新たな資格取得など積極的な活動が求められます。

CEH の認定を受けることで今まで以上に活動の幅が広がることが期待されます。是非、来年の目標は CEH 認定取得を目指してみては如何でしょうか。

オススメ研修コース

※本記事は、2019年12月時点の情報をもとに執筆しています。トレノケートでは現在、下記のCEH関連コースを提供しています(2023/10/18追記)。

CEHは、手口、脅威、攻撃手法を学ぶことにより、「現実の攻撃手法」を体系的に理解し、ホワイトハッカーとして「攻撃者視点」の判断力を養い、効果的な防御方法を習得できるトレーニングです。スペシャリスト（Specialist）レベルのコースです。

CEH (Certified Ethical Hacker) v12 Elite CEH Master取得予定者向け【物理テキスト付】

トレノケート主催の日程はこちらから
グローバルセキュリティエキスパート株式会社主催の日程はこちらから

CEH (Certified Ethical Hacker) v12 Elite CEH Master取得予定者向け -GSX主催-

グローバルセキュリティエキスパート株式会社主催の日程はこちらから

CEH (Certified Ethical Hacker) v12 Pro【物理テキスト付】

トレノケート主催の日程はこちらから
グローバルセキュリティエキスパート株式会社主催の日程はこちらから

CEH (Certified Ethical Hacker) v12 Pro -GSX主催-

グローバルセキュリティエキスパート株式会社主催の日程はこちらから

▼トレノケートのセキュリティ関連コースはこちらから