GIAC Cloud Forensics Responder (GCFR)を取得しました

はじめに

先日、GIAC Cloud Forensics Responder (以下、GCFR)という認定資格を取得しました。本記事では、GCFRと、その取得のために私が行ったことについて解説します。

GCFRについて

GCFRは、GIAC(Global Information Assurance Certification)と呼ばれる情報セキュリティに関する認定資格の1つです。 GCFRの試験では、各種クラウド環境で取得できるログや、その調査手法に関する知識を中心に出題されます。 具体的には、GCFRのWebサイトの「Exam Certification Objectives & Outcome Statements」項を参照してください。

GCFR試験では数問のハンズオン(実技試験)を含めて合計82問出題され、正答率が62%以上であれば合格となります。 試験時間は3時間です。

GCFRで問われる知識を学べるトレーニングとしてSANS institute(以下、SANS)のFOR509: Enterprise Cloud Forensics and Incident Response(以下、FOR509)というコースがあり、このトレーニングを受講してからGCFRを受験するのが一般的です。もちろん、トレーニングを受講せずに試験のみを受けることもできます。

トレーニング受講

私はこれまでペネトレーションテスト業務を主に担当しており、ログ調査などのフォレンジック経験があまりなかったことから、実際に手を動かして学べるFOR509のトレーニングを受講しました。 トレーニングの受講形式としては、講師による解説動画を見ながら学習するSANS OnDemand(以下、OnDemand)を選びました。

日本国内で年に数回開催されている集合形式トレーニングではなくOnDemandを選んだいちばんの理由は、「受講時間の融通が利く」ことです。 国内でのSANSトレーニングについて、最近ではオンサイトとリモートのハイブリッドで開催されるコースが増えてきてはいるのですが、私の業務的に1時間単位の会議などがちょこちょこ入るなど個人的に6日間のまとまった日程を確保することが難しかったため、前回に引き続き今回もOnDemandでの受講となりました。

OnDemandではトレーニング動画を4カ月間見ることができます。 私は5月末ころから学習を開始したのですが、当時は別の技術調査を行っていたこともあり、最初の1カ月間はほぼ手を付けられていませんでした。 また、8月に個人的な長期海外出張(旅行ともいう)を予定していたため、休日はほぼそのスケジューリングに時間を費やし、トレーニング動画を見終わったのは視聴期限の3週間前でした。 とはいえ、動画を視聴しながら実機を用いたハンズオンをみっちりやったり、1冊のテキストが終わるごとに挟まれる「理解度テスト」に何度も取り組んだりと、学習を通して自然と知識や技術が身についていたのかなと思います。

受験予約、受験準備、そして受験日変更

GIACは試験センターのほかに自宅でも受験できますが、自宅での受験はPCなどの環境セットアップの手間や自宅ならではの緊張の緩みが心配だったので、いつもそうしているように試験センターでの受験を選びました。 なお試験センターはGIAC以外にもさまざまな資格の受験会場になっていることが多く、席が埋まりやすいため、早めに日程を決めて受験予約しておくことをおすすめします。 私は当初、9/24の受験を7/7に予約しました。

試験勉強では、テキストを読み返しながらトピックごとに付箋を貼りつつ、ポイントとなる用語を抜き出して表(インデックス)にまとめていきました。 表には各種用語とその説明、それらが載っているテキストの巻番号とページを記載しました。 表の作成手順は下記のとおりです。

1. 気になった用語をとにかく書き留める
2. アルファベット順にソートする
3. 頭文字ごとに区切り線を入れるなど見栄えを工夫する

最終的に、写真のようなものができあがりました。

なお過去の経験上、GIACの受験会場は作業スペースが限られており、基本的にテキストは重ねた状態で受験するため、重ねた状態でもどれがどの巻なのかわかるように、巻番号の付箋をテキストに貼っておきました。

インデックス作成や付箋貼りをひととおり終えた後、Practice Test(いわゆる模擬試験)を受けました。 ほかのGIACと同様、GCFR受験を申し込むとPractice Testを2回受けられるので、同じ日に2回連続で受けました。 結果はなんと、2回とも同じ正答率での合格となりました。

それぞれの模擬試験では自身の苦手分野が明らかになったので、重点的に誤答箇所を復習しました。 特にCyberLive(実技試験)での誤答率が高かったため、ハンズオンのテキストを再度見直しました。

・・・と、ここまでは順調に学習を進めているように見えますが、実は8月下旬の時点で受験日を9/24から9/29に変更しました。 というのも、学習ペースが思わしくなく、このままでは受講期限の9月末までに復習しきれるかが微妙だったためです(上記の画像をよくよく見ると模擬試験の受験日が本試験の2日前なことからも、切迫具合がわかると思います)。 計画には変更がつきものですが、懸念点があれば早めに手を打っておくことが大切です。

受験

9/29に自宅最寄りの試験センターで本試験を受け、正答率84%でめでたく合格しました。 Practice Testと同じ問題がほぼ出ないのはこれまでの経験からなんとなくわかっていましたが、今回も同様でした。 そのため、問題文から出題テーマを読み取り、関連するトピックをテキストで参照しながら注意深く回答していきました。 そのためか、Practice Testのときはテスト終了時に1時間ほど余裕がありましたが、本試験では終了時の残り時間は約5分でした。

自分なりのGIAC受験Tips

私は2017年から8年間にわたってさまざまな種類のGIAC試験を受けてきましたが、そこで得られた受験に関するTipsをご紹介します。(※個人の感想です)

残り時間を気にする

試験時間と問題数から1問当たりに使う平均時間を把握し、残り時間を逆算しながら問題回答に取り組みましょう。 今回受験したGCFRの場合、3時間(180分)で通常問題とCyberLive(実技試験)あわせて82問を回答しなければなりません。内訳は公開されていませんが、例えば通常問題が72問、CyberLiveが10問出題された場合、通常問題の所要時間を1問当たり2分(合計144分)とするとCyberLiveは1問当たり3.6分で回答する必要があります。 試験中は残り時間が常に画面表示されているので、1問当たりの目安時間に現在までに解いた問題数をかけ算し、それが経過時間(残り時間から引き算)よりも多くなっているか(前倒しで回答できているか)を確認しながら回答していくことをおすすめします。 通常問題の中には1分とかからず回答できる問題も多く存在するので、そのような問題は素早く回答し、難問やCyberLiveのために時間を確保しておくべきです。 なお、実際のCyberLiveの問題数は10問ではありませんでしたが、GIACからは公開されていないため、あえてぼかしています。

Practice Testの内容に縛られない

Practice Testは本試験の雰囲気を体験するのに非常に有用ですが、それだけに頼らないようにしましょう。 GCFRのページでも触れられていますが、模擬試験には本試験の問題は含まれません。 模擬試験ではあくまで「問題形式」や「問われる知識の範囲や深さ」、「苦手(得意)分野の特定」、「CyberLive環境の操作感」の把握を主眼に置くのがよいと思います。

インデックス作成も大切だが、テキストへの付箋貼りも大切

インデックス作成の大切さについてはほかのGIAC受験記でも触れられており、私もそのとおりだと思いますが、テキストへの付箋貼りも同様に大切です。 今回のGCFR受験では「問題文に含まれる用語のインデックスを参照→該当するテキストのページを参照」というルートはあまり発生せず、「問題文から出題テーマを導出→関連するトピックを付箋から探してテキストを参照」というルートがほとんどでした。 効率性から考えても、前者のような「点(用語)」での参照ではなく後者のような「面(トピック)」での参照の方が参照回数が少なくなり、時間の節約にもなると思います。

Workbookにも付箋を貼っておく

ハンズオンの手順が載っているテキスト(Workbook)の各章にも、何に関する操作が載っているのかがわかるように付箋を貼っておくことをおすすめします。 そうすることで、問題文からどんな操作が要求されているかを把握し、それに対応する箇所を付箋から参照して具体的な操作をハンズオンのテキストから読み取ることができます。 もし余裕があれば、ハンズオンのテーマごとにコマンドなどの操作内容を一覧としてまとめておくのもよいと思います。

おわりに

本記事では、私がGCFRを取得するまでの道のりとGIAC受験Tipsについて説明しました。 本記事が、みなさんのトレーニング受講や資格取得の検討の参考となれば幸いです。