こんにちは！AgilityShareの武内です。

先日EC-Councilが認定する、【CEH】という資格を取得したので、

その体験談をShareしたいと思います。

これからCEHの取得を目指している方、興味はあるけど、どんな内容なのか概要を知りたいという方の一助になれば幸いかと思います。

【今日の話題】

• CEHとは
• ホワイトハッカーを目指したきっかけ
• CEH概要
• CEH取得メリット
• 最後に

【CEHとは】

CEH（Certified Ethical Hacker）は、国際的な情報セキュリティ団体であるEC-Councilが認定する、世界で最も認知度の高いハッカー倫理認定資格。

CEH資格取得者は、以下のようなスキルを証明できる。

攻撃者の視点に立ってシステムの脆弱性を理解する能力
脆弱性診断ツールを用いてシステムを検査する能力
攻撃手法と防御技術に関する幅広い知識
倫理的なハッキングの原則

Google先生談

つまり世間でいう所の、「ハッカー」になるための勉強ができる。
そしてそれは、良いハッカーである、「ホワイトハッカー」になるためのものであると。

因みに余談ですが、映画とかに出てくる、セキュリティテロ集団はハッカーと呼ばれていますが、
セキュリティ業界では彼らを「クラッカー」と呼びます。
そもそもハッカーという言葉は、本来、コンピュータやネットワークに関する高度な知識と技術を持つ人々を指す言葉です。
ハッカーにもいろいろ種類があります。
ホワイトハッカー：高度な技術を活かして、システムの脆弱性を発見し、報告するなど、善意のために活動するハッカー。
ブラックハッカー：悪意を持って、システムに侵入したり、情報を盗んだりするハッカー。
グレーハッカー：善悪の境界線上を行き来するハッカー。

つまり映画に出てくる悪いハッカーたちは、みんなブラックハッカー
CEHが目指すのは、ホワイトハッカー、って訳です。

【ホワイトハッカーを目指したきっかけ】

近年、サイバー攻撃はますます高度化、複雑化しており、企業や組織の情報セキュリティ対策は喫緊の課題となっています。

そのような状況下で、攻撃者の視点に立ってシステムの脆弱性を評価し、防御策を講じるスキルを持つ人材が求められています。

真面目な話をしておりますが、要するにセキュリティがすごく大切になっているという事です。
そんな中会社から、「CEHを受けてみない？」という話をもらったので、

あまり考えず、

二つ返事で

「やります！」

といい顔して返事しました。（実際はSlack越しなんでそんなのわからないと思いますが）

これが私の半年間の戦いの始まりでした。

昔アラブの石油王が、この油田を任せてもよいか？
と二人の若者に問うた時

Aは何も考えずチャンスだと思い

「任せてください！」

と一言

Bは今後の将来を見据えての質問だと捉え

「経営方針を打ち出して後日提出させて」と未来のビジョンを語った。

後日石油王がその油田を任せたのは、Aだった

石油王はこう述べました　「チャンスは短い」

「チャンスは短い！！！！！！」

つまり私が返事をしたのはそういう事。
考えるのは後でいい

私はＡになりました。

【CEH試験の概要】

CEH試験は、以下の内容で構成されています。

試験形式: コンピューターベース試験
問題数: 125問
形式: 選択問題
試験時間: 4時間
合格ライン: 70%

試験は、ベンダ試験によくある、ＰＣで受けるタイプのやつです。
※後述しますが、CEH Praticalという別の試験があります。これは実技試験になります。
そのため、最大でＰＣの前に４時間座って試験を受けることになります。
これが中々ハードです。

そして、CEHは実は2部構成になっておりまして、上記のCEHの試験と実技試験（CEH PraticalExam）を乗り越えることで

「CEH Master」

となります。

フォース使えませんが、ジェダイになれます。

因みに今回のお話は私がMasterとなった経緯です。

なので結構レア度が高いです。

この実技試験はシナリオに沿って、仮想環境にアクセスし、実際にハッキングをする試験です。

試験時間6時間、、、、

詳しいお話はまた今後させて頂きます。

【CEH取得のメリット】

CEH取得には、以下のような多くのメリットがあります。

情報セキュリティスキル向上: 攻撃者の視点に立ってシステムの脆弱性を理解し、防御策を講じるスキルを習得できる。
キャリアアップ: セキュリティ業界への転職や昇進を目指す際に有利になる。
国際的な認知度: 世界中の企業や組織で評価される資格。
最新のサイバー攻撃への対応: 最新のサイバー攻撃手法や防御技術を常に学ぶことができる。

そしてCEHを受験する上で欠かせないのが、

EC-Council主催のセミナーです。

EC-Councilは、CEH取得のための公式トレーニングコースを提供しています。

5日間集中的にみっちり勉強

に取り組みます。

内容は以下の通り。
1． 攻撃手法についての理解
2． ネットワークスキャンを実行し、ネットワーク内の稼動中の脆弱なマシンを特定する
3． サーバOS、サービス、ユーザ情報を取得する
4．システムハッキング、ステガノグラフィ、ステガナリシス攻撃、痕跡の隠蔽を行う
5． ウイルス、コンピュータワーム、マルウェア使って、システムを攻撃する
6． パケットスニッフィングを行う
7． ディレクトリトラバーサル、パラメータ改ざん、XSSなど、Webサーバ及びWebアプリケーションの攻撃を行う
8． SQLインジェクション攻撃を行う
9． 暗号システムへの攻撃を行う
10．セキュリティホールを特定するための脆弱性分析を行う

これを受けないと中々受験は難しいかと思います。
たまにブログで独学で受験した！なんて強者もいるみたいですが、あまりお勧めできません。
むしろこの機会にセミナーの受講することで、体系的にセキュリティが学べるのはとても良い機会だと思います

そして何より受講することで、使用可能となる

「iLab」

という、検証環境が提供されるので、その中で思う存分勉強（ハッキング）ができます。

これたまに「アイラブ」って読む人いたんですが、恥ずかしいので気を付けてくださいね。

「アイラボ」です。

これが何より大きいです。

CEH Praticalを受験するなら「iLab」は必須

といってもいいくらいです。

【最後に】

ここまで、CEHの概要をお話しましたが、内容だけ見ると難しいかも、、、と思うかもしれません。

はい。はっきり言って難しいです。

がきっちりと勉強をすれば、誰でも取得できると思っています。

次回から実際の受験、そのための勉強法などお話できたらと思います。

是非受験を考えている方は、楽しみにしていてください！