「セキュリティのスペシャリストになりたい」「ホワイトハッカーとして認定されたい」とお考えであれば、認定ホワイトハッカー(CEH)の合格に向けて勉強してみてはいかがでしょうか。
認定ホワイトハッカー(CEH)は国際的に認められた資格でもあるため、国内外での活躍も視野に入ります。
今回は認定ホワイトハッカー(CEH)に関する基礎知識や詳細情報、認定ホワイトハッカー(CEH)の資格取得のメリット・デメリット、認定ホワイトハッカー(CEH)合格のためのおすすめの参考書や対策法についてお話します。
目次
1.認定ホワイトハッカー(CEH)に関する基礎知識
はじめに認定ホワイトハッカー(CEH)に関する基礎知識について解説します。
認定ホワイトハッカー(CEH)とは
認定ホワイトハッカー(CEH:Certified Ethical Hacker)とは、EC-Council認定の国際的な情報セキュリティの資格です。CEHv12 Proの5日間のコースを受講し、筆記試験であるCEH試験に合格することで認定されます。
さらにCEHv12 Eliteを受講した上で実技試験のCEH Practical試験に合格することで、CEH MASTERとして認定されることから、時間と費用を相談しながら合格を目指してみても良いでしょう。
セキュリティエンジニアとの違い
認定ホワイトハッカー(CEH)とセキュリティエンジニアの違いとして、攻撃者側であるという視点と防御者側であるという部分に違いがあります。認定ホワイトハッカー(CEH)はブラックハッカーが実際に攻撃する手法を理解し、攻撃者目線で防御するということです。セキュリティエンジニアは防御する方法を実践し、企業や組織として被害を受けないようにするのが役割と言えます。
認定ホワイトハッカー(CEH)は自分が悪意のある第三者であることを想定し、脆弱性を探したり、セキュリティリスクとなる箇所を見つけ出したりすることで、企業や組織の情報資産を守るということです。どちらも共通するのは事前にリスクを把握し、排除し、その上で被害を最小限にとどめること、サイバー攻撃を検知してすぐに対処できるような体制を作っておくことと言えるでしょう。
厚生労働省の人材開発支援助成金の対象
認定ホワイトハッカー(CEH)は厚生労働省の人材開発支援助成金の対象となっているため、費用の一部を国から支給してもらうことができます。かなり高額なコースとなりますので、利用できる助成金があればしっかりと調べて活用していきましょう。
同時に企業や組織の補助などが受けられるようであれば、同じように積極的に活用していくべきです。詳しくは後述しますが難易度が高く、金額も高いため負担を感じてしまうとモチベーションが下がってしまいますので、利用できる補助や支援は着実に受けておくことが大切です。
2.認定ホワイトハッカー(CEH)試験の詳細情報
次に認定ホワイトハッカー(CEH)試験の詳細情報について解説します。
認定ホワイトハッカー(CEH)の詳細
受講コース/試験名 | CEHv12 Pro/CEH試験 | CEHv12 Elite/CEH Practical試験 |
|---|---|---|
受講場所 | ・GSXのオンライン受講 ・ATCパートナーのオンライン受講またはATCパートナーの集合研修室 | |
試験会場 | ・ピアソンVUEテストセンター ・EC-Council社が提供するRPS(オンライン)サービス | ・EC-Council社が提供するRPS(オンライン)サービス |
試験日時 | ピアソンVUEテストセンター ・試験会場ごとに確認する必要あり オンライン試験 ・随時開催 | ・オンライン試験 |
制限時間 | 4時間 | 6時間 |
出題形式 | 選択式 | iLabsサイバーレンジによる実技試験 |
出題数 | 125問 | 20問 |
合格基準 | 70%以上 | 70%以上(14問以上の正解) |
受講料金(受験料含む) | 602,800円(税込) | 651,200円(税込) |
言語 | 日本語 | 英語 |
試験結果 | 受験後にディスプレイ上に表示 | |
参考元:CEH(認定ホワイトハッカー)|EC-Council公式トレーニング
上記が認定ホワイトハッカー(CEH)の詳細です。CEHの取得自体はCEHv12 Proコースの受講と、CEH試験に受験し合格することで得られます。上位資格であるCEH MASTERに挑戦したい場合はCEH試験に合格した上で、CEHv12 Eliteコースを受講し、CEH Practical試験に合格することが必須です。
認定ホワイトハッカー(CEH)の出題範囲
・CEH試験
Domain | Sub Domains |
|---|---|
情報セキュリティとエシカルハッキングの概要 | ・エシカルハッキング入門 |
偵察のテクニック | ・フットプリンティングとリコネッサンス ・スキャニングネットワーク ・列挙 |
システムハッキングフェーズと攻撃テクニック | ・脆弱性解析 ・システムハッキング ・マルウェアの脅威 |
ネットワークと境界のハッキング | ・スニッフィング ・ソーシャルエンジニアリング ・サービス拒否 ・セッションハイジャック ・IDS、ファイアウォール、ハニーポットの回避 |
Webアプリケーションハッキング | ・Webサーバのハッキング ・Webアプリケーションのハッキング ・SQLインジェクション |
無線LANハッキング | ・無線LANのハッキング |
モバイルプラットフォーム、IoT、OTハッキング | ・モバイルプラットフォームのハッキング ・IoT・OTハッキング |
クラウドコンピューティング | ・クラウドコンピューティング |
暗号技術 | ・暗号技術 |
上記がCEH試験の大まかな出題範囲です。情報セキュリティの基礎からネットワーク、ハードウェアはやソフトウェアなどの知識も必要であり、LinuxなどのOSについても理解が必要になります。ハッキングの手法をしっかりと理解しておく必要があり、その上で防御するために何をすべきか、検知するために何をすべきかを網羅していく必要があるでしょう。
・CEH Practical試験
攻撃手法についての理解
ネットワークスキャンを実行し、ネットワーク内の稼動中の脆弱なマシンを特定する
サーバOS、サービス、ユーザ情報を取得する
システムハッキング、ステガノグラフィ、ステガナリシス攻撃、痕跡の隠蔽を行う
ウイルス、コンピュータワーム、マルウェア使って、システムを攻撃する
パケットスニッフィングを行う
ディレクトリトラバーサル、パラメータ改ざん、XSSなど、Webサーバ及びWebアプリケーションの攻撃を行う
SQLインジェクション攻撃を行う
暗号システムへの攻撃を行う
セキュリティホールを特定するための脆弱性分析を行う
参考元:認定CEHマスター資格試験対策講座 | EC-Council公式トレーニング
上記がCEH Practical試験の大まかな出題範囲です。具体的なハッキングの手法を理解した上で、さらに実務で実行できる能力が必要になります。英語での試験でもあり、Linuxの知識も必要、その上で用意された環境の中でハッキングを行っていく必要があるため、iLabsでの実作業に加えて、自分自身でLinuxなどのOSをインストールして扱いこなせるようにしておくと良いでしょう。
認定ホワイトハッカー(CEH)の受験者数・合格率・難易度
認定ホワイトハッカー(CEH)の受験者数や合格率については公式には発表されていません。
難易度については、認定ホワイトハッカー(CEH)125問中70%以上で合格、出題範囲的には情報処理技術者試験の高度な試験と同程度か同等以上であることが推測されます。
CEH Practical試験の場合は20問で70%以上で合格、実務試験であることから、さらに難易度は高くなると見て間違いないでしょう。両方合格するにはかなり広い範囲の技術を理解し、実践できる実力が求められるため、テキストによる勉強とともに、手を動かして様々な操作をするということも進めてみることが大切です。
認定ホワイトハッカー(CEH)の申し込み手順
ピアソンVUEのアカウントを登録
Eligibility codeとExam Voucher Codeの2種類のコードを準備
ピアソンVUEにログインして任意の日程と会場を予約
予約した日時に受験
上記が認定ホワイトハッカー(CEH)のピアソンVUEを利用する場合の申し込み手順です。5日間の認定講座を受講していることが前提条件となりますので注意しましょう。
Exam Centerのアカウントを作成
Exam Specialistsのアカウントを作成
テクニカルチェックでパソコンの環境が整っているか確認
Exam Specialists上で試験の予約
写真付き身分証明書のアップロード
予約した日時に受験
参考元:オンライン(RPS)受験の流れ
上記が認定ホワイトハッカー(CEH)と上記がCEH Practical試験の申し込みEC-Council社が提供するRPSサービスを利用する場合の申し込み手順です。認定ホワイトハッカー(CEH)の場合事前に公式の事務局に連絡してピアソンVUEからRPSによる受験に変更することを申し込んでおく必要があります。
RPSによる受験はリモートであり、試験官とチャットをしながら進める形式です。Webカメラなども確認のために必要なため、事前に準備しておきましょう。
認定ホワイトハッカー(CEH)の有効期限
認定ホワイトハッカー(CEH)の有効期限は3年です。更新には80ドルの年会費、そしてECEと呼ばれる120クレジット分のカリキュラムや勉強会及びセミナーの受講が求められます。サイバー攻撃やセキュリティに関する技術が日々進化することもあり、新しい手法に対処するために必要な期限と言えるでしょう。
認定ホワイトハッカー(CEH)の勉強時間
認定ホワイトハッカー(CEH)の勉強時間については、今までエンジニア領域でどの程度の知識やスキルが身についているかによって個人差があります。もし、ITやセキュリティの基礎知識がない場合、例えばネットワークの基本やシステムの脆弱性についての理解がない場合、認定ホワイトハッカー(CEH)であれば300時間から500時間程度を見積もっていた方が良いかもしれません。
ある程度の知識がある方の場合においても、5日間の受講は必須であり、その上で試験を受ける必要があるため、最低でも200時間から300時間程度は見込んでおいた方が良いと推測できます。
CEH Practical試験の場合は、Linuxなどで直接的に作業をする必要があり、かつ試験官と対話する必要もあるため、英語力も求められます。各種コマンドや会話などがスラスラと読み解けるようにしておきましょう。認定ホワイトハッカー(CEH)に合格している方であれば、100時間から200時間程度の勉強と実務の作業をしておくことが必要だと推測されます。
3.認定ホワイトハッカー(CEH)の資格取得のメリット
次に認定ホワイトハッカー(CEH)の資格取得のメリットについて解説します。
セキュリティのスペシャリストとしての証明になる
認定ホワイトハッカー(CEH)の資格取得のメリットとして、セキュリティのスペシャリストとしての証明になることが挙げられます。セキュリティ関連の資格の中でもかなり難易度が高い資格でもあるため、合格することでセキュリティ領域で活躍できる実力が身につくのもメリットと言えるでしょう。
認定ホワイトハッカー(CEH)においては、CEH Practical試験に挑戦することで上位の資格も手に入る仕組みになっています。その他の資格取得も目指していくことで、技術力を高めつつ、自分のキャリアアップにもつながっていくでしょう。結果として報酬のアップなども期待できるようになり、新しい場所で様々な実績の構築も期待できるようになります。
国際的な認定資格のため海外での活躍も視野に
認定ホワイトハッカー(CEH)の資格取得のメリットとして、国際的な認定資格のため海外での活躍も視野にはいることが挙げられます。また、直接海外で働くという選択肢ではなくても、認定ホワイトハッカー(CEH)の価値をわかっている外資の企業に認められる可能性も高まるでしょう。
もちろん、日本国内においてもセキュリティのスペシャリストとしての市場価値は非常に高いものです。セキュリティ人材が不足している今だからこそ、資格取得に向けてモチベーションを上げていくことで、将来的な自分のキャリアプランもさらに良いものになっていくでしょう。
資格を維持するためのカリキュラムで成長できる
認定ホワイトハッカー(CEH)の資格取得のメリットとして、資格を維持するためのカリキュラムやセミナー、勉強会などで成長できることが挙げられます。最新の技術にアップデートされていくことで、セキュリティのスペシャリストとしての実力も維持できるということです。
3年間で120クレジットの取得はそれなりに大変ではありますが、その他の試験に挑戦してみたり、何らかのコミュニティに属して積極的に参加したり、自分自身の成長とともに他のセキュリティのスペシャリストとの横のつながりも作っていくと良いでしょう。
4.認定ホワイトハッカー(CEH)の資格取得のデメリット
次に認定ホワイトハッカー(CEH)の資格取得のデメリットについて解説します。
資格の取得や維持に時間と費用が必要
認定ホワイトハッカー(CEH)の資格取得のデメリットとして、資格の取得や維持に時間と費用が必要なことが挙げられます。5日間の認定講座も含めた金額は602,800円、3年ごとの資格の維持に必要な年会費は80ドル、その上で取得の取得や維持のための勉強する時間も必要です。
仕事や勉学との両立が難しくなってしまうとモチベーションも下がりますし、理解が進まないことでプレッシャーが増えてしまうこともあるかもしれません。セキュリティに関する基礎が身についていない場合は、いきなり認定ホワイトハッカー(CEH)を目指すのではなく、自分の知識レベルにあったIT関連の資格の取得から進めていくことをおすすめします。
出題範囲も広く難易度も高め
認定ホワイトハッカー(CEH)の資格取得のデメリットとして、実技試験もあり出題範囲も広く難易度も高めなことが挙げられます。セキュリティ自体がネットワークもソフトウェアもハードウェアもOSも絡んでくる技術範囲であることが理由です。その上でホワイトハッカーとしての知識を身につけて、様々な攻撃を理解し、対処する方法も知っておく必要があります。
まずは出題範囲をしっかりとチェックし、自分自身の理解が足りていない部分の技術領域について参考書などを購入して覚えていきましょう。また、プログラムやコマンドを実行するための仮想環境などについても学んでおき、環境を構築することでシステムやOSの基礎レベルでの理解を深めていくことも大切です。
Linuxを過不足なく使える英語力も必要
認定ホワイトハッカー(CEH)の資格取得のデメリットとして、Linuxを過不足なく使える英語力も必要なことが挙げられます。Linuxのコマンドについては、ほとんどが英語での表記なっており、パラメーターなどもどのようなものかを理解し入力する必要があります。
認定ホワイトハッカー(CEH)の場合は実務による試験ではないものの、コマンドやその周辺の設定項目などを読み解けないと合格は難しくなってしまうでしょう。
CEH Practical試験の場合は英語での実務試験です。英語に不慣れな方の場合は英語の勉強もしておき、ある程度は読み解けるようにしておくこと、最低でもメニューやシステムにおける英単語においては、的確に選べるように理解し選択できるようにしておきましょう。
5.認定ホワイトハッカー(CEH)合格のためのおすすめの参考書や対策法
次に認定ホワイトハッカー(CEH)合格のためのおすすめの参考書や対策法について解説します。
公式の出題範囲をしっかりと読み解けるようにする
セキュリティ技術に関する自分自身の理解度を把握するためにも、まずは公式の出題範囲をしっかりと読み解けるようにしましょう。もし基本的な専門用語も理解できないというような場合はすぐに講座に申し込むのではなく、ITパスポートや情報セキュリティマネジメント試験などの参考書などを読み解き、基礎的な知識を身につけていくことが大切です。
また、難易度的には情報処理技術者試験の高度試験と同じかそれ以上の内容でもあるため、全くわからないような場合は基本情報技術者や応用情報技術者の受験と勉強も視野に入れておきましょう。講座に申し込む前に、出題範囲の内容が理解できること、ソフトウェアやハードウェアなどの基礎的な知識が身につけることをおすすめします。
演習環境iLabsを利用して実務経験を積んでおく
認定ホワイトハッカー(CEH)のみ受験する場合においても、演習環境iLabsを利用して実務経験を積んでおくことをおすすめします。実際にどのような形なのか体感しておくことで、知識とスキルが結びつきやすくなるのが理由です。
認定ホワイトハッカー(CEH)の場合は様々な技術領域が組み合わさっていることから、単にペーパーテストとして受けようとすると合格が難しいことも考えられます。実際にOSをインストールしてみたり、様々なコマンドに触れてみたりすることで、合格できる可能性を高めると良いでしょう。
講座の受講と試験は別々なのでスケジュールに注意
認定ホワイトハッカー(CEH)は講座の受講とともに、試験に合格する必要があります。講座の受講から1年以内に試験に合格する必要があるので注意しましょう。そのため、勉強時間の捻出にも十分に気をつける必要があります。
講座の受講前に書店や電子書籍などであらかじめ勉強を進めておき、出題範囲の部分で読み解けないキーワードや専門用語がないようにしておきましょう。その上で講座に申し込みし、自分の理解度に応じて勉強計画を考える必要があります。
講座は金額が大きいこともあり、再受験の場合もさらに費用がかさんでしまうことから、余裕を持って計画を練り、合格できる確率を高めてから挑戦しましょう。
関連記事
情報処理技術者能力認定試験とは?難易度や合格率、メリット・デメリットや対策方法について解説
6.まとめ
今回は認定ホワイトハッカー(CEH)に関する基礎知識や詳細情報、認定ホワイトハッカー(CEH)の資格取得のメリット・デメリット、認定ホワイトハッカー(CEH)合格のためのおすすめの参考書や対策法についてお話しました。
認定ホワイトハッカー(CEH)は時間や費用などの提出が大変な分、セキュリティ領域のスペシャリストとして認められることで、将来的なリターンが得られるのは間違いありません。難易度も高いため合格は大変かもしれませんが、モチベーションを上げて勉強を頑張っていきましょう。
最後までお読みいただきありがとうございました。
本記事が皆様にとって少しでもお役に立てますと幸いです。
