CISSPとかOSCPとかこの半年にあったこととかその辺の話

証明書を更新し忘れてサイトが見れなくなっていた…(^^; 全然記事を書いてないなあと思ったので、久々に更新。

最近、資格をいくつか取れたので振り返りでも。

CISSP

(ISC)² が認定を行っている情報セキュリティの資格。

どういう資格なのか… という点については公式にまとまってるので割愛 https://japan.isc2.org/cissp_gaiyou.html

学生時代に初めて見つけて、いつかは取りたいなと思ってたものの
脆弱性診断後の報告でお客さん先に足を運んだりすると
雑談の中でセキュリティに関する質問を受けることもあり
何かしら回答できるだけの知識や考え方はあっても良いなあと思い
資格を取ることを決めました。

公式が提供しているCBKトレーニングもあって良いお値段なのですが、
沖縄県サイバーセキュリティ人材創出促進事業によりトレーニング費用の補助をいただけたので、特別価格で受講できました。
https://isc-okinawa.org/event/cissp-kouza2019/
※ 補助を受けるにはいくつか条件がありました

沖縄県内でセキュリティ関連のトレーニングはなかなか開催されないのでとても良い機会でした。

トレーニングは5日間かけて8ドメイン全てを体系的にレビューして、
確認問題を解いて終了。
解説もすごい分かりやすいので受講してよかったです。
8ドメインを5日で確認するのでかなりハイペースですが、
物理からアプリケーション開発まで一通りやっていたおかげか
事前知識はいくらかあったので問題なくついていけました。

事前知識なしでも大丈夫かとは思うけど、 一部ドメインはネットワーク周りや暗号の基礎的な部分は理解した上で
受講したほうが良いかなと思いました。

あとはもらったテキストを3-4回くらい読み直して、
Apple Booksに売ってる以下の公式問題集を各章2回ずつ解いた。 https://books.apple.com/jp/book/cissp公式問題集/id1465705751

試験そのものは沖縄で受験不可なので、上京して受験しました。
無事合格して、認定の手続きをする。
合格しても、認定をもらうためには業務経験が5年必要なのですが、 大学卒業学位取得者は1年分の経験が免除されるので、4年の業務経験で認定できるとのこと。 https://japan.isc2.org/cissp_outline.html

それでも合格時点では業務経験が2週間くらい足りなくて、
一度はアソシエイトとして登録しました。

大学から卒業証明書を取り寄せたり、エンドース(推薦)のための書類を作成してたらあっという間に2週間過ぎて認定要件満たされたので、会社の人にお願いしてエンドースをしてもらいました。

これからはCPEを継続的に取得していく必要がありますが、
価値を提供できるように日々コツコツと学習を続けます。

OSCP

ペネトレの資格。
最近は日本でも受験する人が多く、日本語で書かれた詳細な受験記ががいくつか上がってるのでそれ見るとどういう試験かは分かるかも。
実は2019/11にOSCPのラボを2ヶ月分購入していたのですが、あまりの忙しさにラボをやる暇がなくお布施をしただけに…(^^;
CISSP合格後(2020/04)に、30日分追加で購入しました。
2ヶ月分無駄にしたことを後悔していたので、自分を追い込むつもりで受験日も購入日に決めてしまいました。 アップデートが入っていてテキストもラボも変わっていて、テキストもさらっと読み直してラボに挑戦。

30日で攻略できたホストは20くらいかな。
1日1ホストのペースでやるつもりだったけど、実際そんなに上手くは取れなかった。
コロナの件もあってステイホームしてたので捗ったとは思う。 root取れたときとか脳から何か出てる感じがたまらなくて、寝ないでラボ攻略してた日もあったな… 体に悪いのでちゃんと寝た方がいいです。

テキストにExcerciseがついていて、それとラボマシン(10台)の攻略手順を記載したラボレポートを作成して提出すると、試験で最大5点の加点があるのですがこちらは実施せず。
レポート作成の練習になるのでやっておいたほうが良いのですが、普段から診断の報告書は書いてるので大丈夫かな?と思い私はやりませんでした。

試験前日はExam Guideを読み込んで、レポートの作り方を確認して就寝。

試験当日。
プロクターなので、カメラで24時間ずっと監視されながらもひたすら攻略していく。
攻略しながらレポートの構成を考えて証跡を取ることになりますが、
この辺は普段の業務とあまり変わらない感じでした。
ある程度は攻略できたものの、知識不足で解けないものもありました。
このときはラボレポート作っておけばよかったなあと少し後悔もしました。
5点あれば不安な気持ちは多少緩和できたかもしれない。 少しだけ寝て試験のレポートを作成。
証跡の取得漏れも無くてサクッと作って提出。
運営のメールには10日くらいで合否通知がくるらしい。

体験記見てると2,3日で合否通知がきてるみたいだけど、 そんなにはやく来なかったので少し不安になりました。 でも、1週間後に合格通知がきたのでホッとしました。
CISSPのCPEポイント(40pt)も申請できるとのことで、すぐ申請しました。


この半年あったことを書いてみました。
CISSPのCPEポイントは年間平均で40ptくらい取得する必要がありますが、
OSCPに合格できてポイントをもらえたので一先ず安心してます。

OSCPは合格して一安心しているものの、Pentesterとしてはまだまだ実力不足を感じるところはあります。
Windows周りとか特に。
今だとPentesterAcademyがディスカウントされてるようなので
RED TEAM LABS買って遊んでみたいと思います。

この半年でCISSP/OSCP両方の資格を取れたので、今年は頑張ったなという気持ちです。 最近は、資格を取るとデジタルバッジがもらえるんですね。
私もシェアしてみます。

https://www.youracclaim.com/users/yuya-asato

おしまい。