はじめに
先日、GIAC Cloud Penetration Tester (以下、GCPN)という認定資格を取得しました。本記事では、GCPNやその取得のために私が行ったこと、関連トレーニングの受講環境として利用したSANS OnDemandについて解説します。
GCPNについて
GCPNは、GIAC(Global Information Assurance Certification)と呼ばれる情報セキュリティに関する認定資格の1つです。幅広い情報セキュリティ分野の中でも、GCPNの試験では特にクラウド環境へのペネトレーションテストに関する知識が問われます。
GCPNのWebサイトによると、GCPNの試験では下記のトピックに関して出題されることになっています。
- AWSにおける認証の仕組みと各種サービス
- Azure FunctionsとWindowsコンテナ
- クラウドネイティブアプリケーションとCI/CDパイプライン
- クラウド環境のペネトレーションテストの基礎
- コンテナとKubernetes
- クラウド環境(サービスやデータ)の探索
- クラウド環境のマッピング
- Microsoft Azureの各種サービスと攻撃手法
- クラウド環境に対するパスワード関連の攻撃
- クラウド環境に対するレッドチーム演習
- 通信の転送と攻撃の難読化
- Webアプリケーションへの攻撃
試験では上記に関して75問出題され、正答率が70%以上であれば合格となります。また、試験時間は2時間です。
GCPNで問われる知識を学べるトレーニングとしてSANS institute(以下、SANS)のSEC588: Cloud Penetration Testing(以下、SEC588)というコースがあり、このトレーニングを受講してからGCPNを受験するのが一般的です。もちろん、トレーニングを受講せずに試験のみを受けることもできます。
トレーニング受講
私は、クラウド環境に対するペネトレーションテスト手法を詳しく学習したかったこともあり、試験に先立ってSEC588のトレーニングを受講しました。トレーニングの受講形式としては、講師による解説動画を見ながら学習するSANS OnDemandを選びました。
トレーニングの解説動画は4カ月間見ることができたので、普段の業務の空き時間に少しずつ進めていきました。最近は自宅でのテレワークがほとんどなのですが、昼食のタイミングなど家族との時間調整をしていると3時間や4時間などのまとまった時間を確保するのが意外と難しいので、この学習方法は私に合っていました。
約3カ月掛けてすべてのトレーニング動画を見終え、7月初め頃からGCPNの試験勉強を始めました。通常の集合教育だと5日間で行われる内容を動画で学習するのに3カ月も掛かったのは、空き時間に学習していたのに加え、PCを用いたハンズオン(実習)をみっちりやっていたというのも理由の1つです。実行するコマンドやその実行結果など、詳細な手順をメモにまとめながらハンズオンに取り組みました。
受験準備
試験勉強としては、テキストを最初から読み返しながら、詳しく知りたい用語については別途調べてメモに残す、という作業を続けていました。GCPNの試験はテキストなどの印刷物を試験会場に持ち込むことができるため、各種用語とその説明、そしてそれらが載っているテキストのページを表にまとめました。これらのまとめ作業を通して、かなり知識が定着したのではないかと思います。
GCPNの受験に際して、Practice Test(いわゆる模擬試験)を2回受けられるようになっていました。Practice Testをいつ受けるかについてはいろいろな考え方があると思いますが、私は一通りテキストを読み返した後に連続して2回受けました。結果は、1回目の正答率が73%、2回目が80%とまずまずの結果でした。
ちなみにPractice Testでは、1問回答するごとに解説ページが表示されるので、つまずいた問題については解説を読みながら試験を進めました。解説を読んでも制限時間の2時間以内で終えられたので、良いペースで回答できたと思います。
受験
Practice Testを受けた3日後の7/21に自宅最寄りの試験センターで本試験を受け、正答率87%でめでたく合格しました。Practice Testを受けた後、誤答が多かった分野についてみっちり復習したつもりでしたが、Practice Testであまり出なかった分野の問題が多く出たため予想外のところで間違えてしまったようです。とはいえ合格できたのは良かったですし、合格後に食べた昼食のハンバーグもおいしかったです。
SANS OnDemandについて
OnDemandを選んだ理由
SANSトレーニングの受講形式には、受講者がオンラインまたは研修会場に集まって同時に講義を受ける「集合形式」と、録画済みの講義動画を受講者が自分の好きな時間にオンライン視聴する「OnDemand」の2種類があります。ただ、日本での集合形式トレーニングは2020年6月から2021年8月現在まですべてオンラインで行われており、研修会場での実施は一時休止となっています。 今回GCPNに関連したSANSトレーニング(SEC588)を受講するにあたり、私は下記の理由から、集合形式でのオンライン受講ではなくOnDemandでの受講を選びました。
研修会場での集合形式トレーニングが開催されなくなった
これが一番の理由です。
日本でのSANSの集合形式トレーニングは、従来は東京や大阪などの研修会場で行われており、オンラインでは行われていませんでした。受講者が研修会場に集まって行われる集合形式トレーニングでは、自然と受講者同士の交流の輪が広がり、初対面の方とでも一緒に昼食に行ったりして仲良くなれていたのですが、現在のオンラインによる集合形式トレーニングだとそれが非常に難しいと感じました。そのため、私が研修会場での集合形式トレーニングに感じていた「うまみ」がなくなってしまいました。
受講時間の融通が利く
トレーニング受講のために連続した日程やまとまった時間を確保しなくても良く、受講時間に融通が利くことは、OnDemandの利点の1つです。前述のとおり、自宅で長時間のトレーニングを日中に受講するとなると家族との時間調整が難しくなってしまう私にとって、空き時間に少しずつ学習できるのは助かりました。
トレーニングイベントにラインアップされていないコースを受講できる
SANSのトレーニングイベントは現在、日本をはじめ世界各地でオンライン開催されているのですが、講師の都合などから、1度のイベントですべてのコースが開講されるわけではありません。OnDemandの場合はその点について考慮する必要がなく、OnDemandとしてラインアップされているコースであればいつでも受講できます。
OnDemand受講時に気を付けたい点
便利そうなOnDemandですが、気を付けておかないといけない点もあります。
講義は基本的に英語
OnDemandの講義動画は、私がこれまで3コース(SEC599: Defeating Advanced Adversaries - Purple Team Tactics & Kill Chain Defenses、FOR508: Advanced Incident Response, Threat Hunting, and Digital Forensicsと今回のSEC588)受講した限りではすべて英語で収録されており、日本での集合形式のトレーニングであるような同時通訳サービスは付いていませんでした(FOR508など、コースによっては日本語字幕が表示されるものもあります)。講義スライドを見ながら講師の説明を聞き、ある程度の内容が理解できるのであれば問題ありませんが、英語のリスニングが苦手な方は苦労すると思います。
受講期限がある
OnDemandの動画視聴期間は4カ月間と長いですが、「この日までにはここまで視聴する」などのように大まかなスケジュールを受講開始時に立てておくことをおすすめします。日々の業務に追われて気付いたらあと1カ月しかなかった、みたいなことになると、その時点から長時間の学習時間を確保するのに相当頑張らないといけないと思います。GIACを受験するのであれば、試験勉強の期間も考慮する必要があります。
受講者同士の交流がない
現在の集合形式トレーニングがオンラインで開催されているとはいえ、受講者同士の交流はあるとのことです(当社でオンライン講義を受けた方からのヒアリングによる)。オンラインのみのやりとりからでも交流の輪を広げられる点においては、OnDemandよりも集合形式トレーニングに分があると言えます。
おわりに
本記事では、私がGCPNを取得するまでの道のりと、SANSのトレーニング受講形式の1つであるOnDemandについて説明しました。本記事が、みなさんの資格取得やトレーニング受講の検討の際の参考となれば幸いです。


記事の著者
セキュリティ診断業務に10年間従事後、2016年よりシニアセキュリティアナリストとしてペネトレーションテスト業務に従事。
診断業務開始当初は社内イントラサイトの脆弱性に対する過激な指摘により物議を醸したが、
現在はだいぶおとなしくなっている。好きな周波数は13.56MHz。
GXPN、GAWN、GREM、GPEN、GDAT、GCPN、GCFA、GCFE、CRTE、CARTP、CEH
関連記事
RELATED ARTICLE