長谷川様の経歴:
大学時代にマルウェア対策を研究し、2012年に新卒でNTTコミュニケーションズに入社。マネージドセキュリティサービスの新規開発から運用、機器性能検証まで幅広く従事。より現場でのセキュリティ対応を志向し、リクルートテクノロジーズに転職、Recruit-CSIRT立ち上げ期にDFIR業務(マルウェア解析・フォレンジック調査)に没頭。名古屋に移住後、完全リモート可能なCylance(現BlackBerry)でPrincipal Threat Researcherとしてマルウェア解析に専念。現在は個人事業主としてGoAheadとフルタイム契約し、Technical Security Advisorとして、製品開発や最新技術リサーチ、AI評価など幅広く対応。特に「スレットハンティング」と「データビジュアライゼーション」に注力しており、独自手法「長谷川式ドリルハンティング」やD3/Vegaによる可視化を活用している。
長谷川様にとって、Applied Knowledge Certificationとは何か、またその取得理由について教えてください。
将来DFIRの最前線に戻ることを前提に、自分の現時点のスキルがどれほどこの技術ドメインで通用するかの「腕試し」にちょうどよいと思いました。そして、ちゃんとこのドメインで手が動いて業務対応できることを証明したかったからです。また腹黒いことにまだ保持者が少ない新しい資格だけに話題性もあると考えました。
よく履歴書に「〇〇を何年間やってました」、とか、「〇〇のコンテスト」で賞をとりましたとか書きますよね。私も昔そのように書いておりました。それはその方の経験には間違いないのですが、”スキル”とは直接紐付かない可能性が高いと思います。つまり、人事の方からすると「いまもできるのか?一人でできるのか?」という懸念がそこにはあると思います。
「Applied Knowledge Certification」は「Practitioner Certification」と違い、インデックスされたテキストからのドメイン知識ではなく、インターネットも使えず、誰にも頼れない環境で、短時間でどれだけ手を動かして問題解決の能力があるか?を測ってくれるため、実践的な”スキル”を図るにはうってつけでした。
実際に受験されてみてのご感想や、試験の内容・難易度について教えてください。
「Applied Knowledge Certification」、いわゆるGX-シリーズの試験では4時間で25問の問題が出題され、Cyber LiveというGIACが用意するVM環境を使って調査します。紙のSANSトレーニングテキストブックや自作のチートシートなどは持ち込めますが、OSCPなどのOffensive Security 社の資格と異なりインターネットを一切使うことができません。数年前から「Practitioner Certification」の試験でもCyber Live形式の設問が難問か最後に出題されていますが、はっきり言って難易度はGXシリーズの設問の方が難しいです。4時間で25問という問題数は、全問正解のためには平均すると1問あたり9分弱で解かねばならず、持ち込んだテキストブックやチートシートを見ている時間はあまりありません。基本的には脳内で解答プロセスを即座に組み立て試行錯誤を繰り返して、フラグを得るCTF形式とお考えください。回答形式は従来の4択の選択肢問題でなく、およそ8択以上の選択肢問題か、解答文字列をキーボードで入力する形式のため、直感に頼ったあてずっぽうではあたりません。GX-シリーズの試験範囲のドメインは広く、およそSANSのコース6〜10個分です。例えばGX-FAならGCFAのFOR508がプライマリコースになっており試験範囲のトレーニングコースの偏りがありますが、プライマリコースの内容のみの準備では合格は難しいと感じました。要するに、熟練した実務経験を試されている試験です。実際、数年以上の実務経験があるGX-FA、GX-FE、GX-IHは合格できましたが、試験対策として300時間ほど勉強したにも関わらずエンタープライズでの実務経験が豊富になかったため、GX-PTの合格には届きませんでした。
Applied Knowledge Certificationの受験にあたり、どのような準備をされたのかお聞かせください。
GX-FAには100時間、GX-FEには5時間、GX-IHには50時間程度のいわゆる試験勉強をしました。GX-FEが極端に少ないのはGX-FAの試験勉強のドメインとGX-FEのドメインが近かったのと、無償のベータ試験で受験したからです。主な準備内容は、試験範囲のドメイン知識の総復習と幾度なるハンズオン練習とそれらから抽出した自分なりのコマンドチートシート作成です。コマンドチートシートは本番の試験で持ち込めるように苦手部分はハイライトして作成しました。それぞれの試験のプライマリドメインのコースを中心に最低2周ほど復習しました、1周してから試験範囲の別のコースのテキストブックやラボにも目を通して、チートシートを補強し、さらにプライマリドメインのコースをさらに1周するようにT字で積み上げました
試験の感触や主にCyberLive環境の調査方法に慣れるためのDemo問題が39 USDで購入できますが、上記3つの合格した試験の対策には利用しませんでした。Demo問題で出題された問題は本番では出題されないと明記されていますし、3問のみで45分と本番より1問あたりも長めに設定されているため、タイムマネジメントの正確な参考としても使いづらかったです。それよりは本番を受けてダメだったらリテイクしようと考えました。ダメだったらリテイクの精神は大事ですが、ちゃんと対策せずに受けるのは勿体無いです。
Applied Knowledge Certificationを取得して良かったと感じた点があれば、教えてください。
正直にセキュリティ業界の友人から称賛されたことです。そして、SANSの動画やブログで取り上げていただけるのもApplied Knowledge Certificationを取得した結果なのでよかったです。
SANSインストラクターの方々でも合格するのが難しいときもあると聞いておりますので、SANSインストラクターの方からもすごいねとSNSでコメントもらいました。SANSフェローのChad氏から、GX-FAを史上70番目で取得した際には、「ほんとにすごい!偉業です、おめでとう!」とメッセージもらえました。
この資格を、同僚やサイバーセキュリティ分野の仲間に勧めたいと思われますか?
近しく実務経験が豊富な方(杉山一郎さん)にはすでにおすすめして、さっそくGX-FEを取得されておりました!さすが私のフォレンジック師匠である杉山一郎さんです。一方、あまりDFIR業界での実務経験が浅い方にはおすすめしてないです。その試験範囲に含まれている技術ドメインの「Practitioner Certification」をいくつか保持している上で、少なくとも3年以上の実務経験があったほうが無難だと思います。
数あるサイバーセキュリティトレーニングの中で、SANSを選ばれる理由を教えてください。
まず教材です!DFIRのコンテンツでは、SANSのものが一番濃密にわかりやすくまとまっている教材だと思います。次に業界で著名な講師陣との接点がもて、きちんと質問に親切に答えてくれる点です。
またOnDemandのSANSトレーニングも単元ごとに習熟度チェックQuizのミニテストがあって復習にはとてもよいのですが、トレーニングを受けるならやはりIn-Personで講師や生徒とコミュニケーションをとりながら、ネットワーキングも楽しみつつ学習することが、比較的難しいとされるサイバーセキュリティの学習をサポートする大きな手助けになっていると考えます。少し大袈裟かもしれませんが、SANSトレーニングでBLUEとREDのドメイン知識を蓄積した結果が、いまの私のスレットハンティング業務の根幹にある気がしています。
SANSには2013年の社会人2年目からすでに12年以上の間、お世話になっているのでご恩が深いです。いつか自分が講師として教える側になったときに今までのご恩に報いたいと思います。
保有しているGIAC:
GIAC Reverse Engineering Malware Certification (GREM)
GIAC Certified Incident Handler Certification (GCIH)
GIAC Certified Forensic Analyst (GCFA)
GIAC Certified Forensic Examiner (GCFE)
GIAC Cloud Forensics Responder (GCFR)
GIAC Network Forensic Analyst (GNFA)
GIAC Penetration Tester Certification (GPEN)
GIAC Exploit Researcher and Advanced Penetration Tester (GXPN)
GIAC Mobile Device Security Analyst (GMOB)
保有しているGIAC Applied Knowledge Certification:
GIAC Experienced Forensic Analyst Certification (GX-FA)
GIAC Experienced Forensics Expert (GX-FE)
GIAC Experienced Incident Handler Certification (GX-IH)