GCFAに合格した(得点88%)

プログラミングor技術
GCFA(GIAC Certified Forensic Analyst)に合格しました~~。 本資格は主にWindowsエンドポイントのデジタルフォレンジック、およびそれを通したインシデント対応に関する資格です!
平たく言うと、サイバー攻撃や情報漏洩とかのセキュリティインシデント時に、証拠を保全、原因や影響を調査デジタルフォレンジックするやつです。 目標の得点率は90%以上で、GIAC Advisory Board に入れてもらうつもりでしたが、実際は残念ながら88%の得点率になりました。
勉強法や当日の記憶をメモしていきます。

SANS FOR508 トレーニング

資格試験とは別に、6日間のトレーニングがあります。
GCFAの試験だけいきなり受けてもよいみたいですが、練習も講義もテキストもなしに合格するのはちょっと難しいと思います。なのでメジャーなのはトレーニングと試験をセットで申し込むことです、多分。
SANS の FOR508トレーニングは90万円くらい、GCFA試験は10万円くらい。 私もご多分に漏れず、トレーニングから受けました。
予習は無しでしたが、テキスト読むくらいはしたほうがよかったかも。 受けている間はPCでメモを取って、フーンといいながらハンズオンをやってました。
同時通訳が付くので、通訳のほうの音声ばかり聞いてました。専門用語もそれなりに訳してくれるのでそこまで混乱なく聞くことができました。 この時点でやっておいたほうが良かったのは…
電子的に配られるハンズオンの手順書(Workbook)を印刷し、それにメモを書きこむこと。またはPDF化してOnenoteかなにかに取り込み書き込む形で電子的にメモ取れるようにすること。
GIAC GCFAの試験本番に持ち込めるのは紙資料のみですので、その準備です。 自分はPCにテキスト形式でメモしちゃってたので、Workbookに対応させる形に直して印刷するのがメンドかったです。(結果的に全然使いませんでしたが。) ちなみにトレーニング最終日には、実戦形式のチーム対抗のフォレンジックがあります。 (優秀チームに選ばれてSANSコインもらえました!強い人と組んだおかげだけど。)

試験勉強の体験記

6日間の楽しいトレーニングが終わったら、試験勉強です。
3か月の猶予が与えられ、その中で模擬試験2回と、試験本番を受けることが可能です。 やった順に書きますね。
時期やったこと
1ヶ月目後半トレーニング動画の見直し
1ヶ月目後半ハンズオンやり直し
2ヶ月目初め1回目の模擬試験(得点58%)
(2ヶ月目)(ほか何もしてない!!)
3ヶ月目ちょい過ぎテキスト通読、インデックス作成
試験前日の夜資料印刷
2回目の模擬試験(得点91%)

動画の見直し

ライブトレーニング終わってから1-2週間経った後に、録画動画を見直しました。(動画自体はオプションなしで利用可能。) トレーニング時に聞き漏らした部分が結構あったので、通しで試聴しました。
動画は8時間程度のものが5日間分(6日目はチーム対抗戦の講評だけなので割と短い)と、とてもヘビーです。
実際はハンズオン部分や休憩時間があるので、意味のある部分は5-6時間ぶんでしょうか。 時間無いので仕事しながら視聴してました。(在宅勤務万歳、資格取得も業務命令なので何にも違反してないです。)
ハンズオンはWorkbookだけ見て、動画に従ってフンフンとうなずきました。

ハンズオンやり直し

実際に手を動かし、ツールの使い方を覚えました。 ハンズオン用Workbookに従って手を動かします。
トレーニングでの講師の説明は覚えてるはずなのに、つまづく所があって冷や汗をかきます。
やっぱ説明聞くだけと実際に触るのじゃ違いますね。 一周やって注意点をメモし、おしまいにしました。

1回目の模擬試験

今後の方向性を決めるために、模擬試験を早めに受けたほうがよいらしいです。
自分は2ヶ月目の初めという全然早く無い時期でした。 結果は59%、ボコボコにされました。問題数は選択問題75 + ハンズオン形式7問 = 82問で、傾斜配点があるので単純に正答数だけで計算できないのです。
x問くらい間違えました。
(模擬試験は、誤答の場合は回答直後に解説が出るのですぐわかります。設定で無くせるみたいですが。) うーん、キビシイ。でもほかの用事で忙しくて、ここから1か月くらい放置しました。
つまり受験期限まで残り1か月くらいまで何もしてませんでした。

テキスト通読 + インデックス作成

残り3週間くらいになってから頑張りはじめました。 テキストを本文まで通して読み、テキストに短いメモを書き込みつつ、Excelでインデックスを作成しました。
テキストはテーマごとの5冊 + 最後のハンズオンを解説した2冊 = 合計7冊がありますが、前者の5冊のみを読みました。100ページ進むのに半日〜1日かかってた気がします。
インデックス作成はライブトレーニングでもお勧めされるし、ネット上の体験記見ると定番らしいので作成を強くお勧めします。
(一応、既製のインデックスはテキストの5冊目にあるんですけど、自分にとってわかりやすい + 一言説明があるようなのを作ります。
私はほとんど説明はつけなかったけど、項目が細かくてEventIDやコマンドをよくカバーしてるようなインデックスを作りました。
ページ順Ver. とアルファベット順Ver. を作りました。ソートしただけだけど。)

試験用の資料の印刷

紙資料を持って受験してよいので、勝つためには印刷が必須です。段取りが悪く試験前日の夜やりました。

コンビニで大量の印刷をするのは大変でした。なるべく短時間で済むように、まとめられるものはPDFを全部連結して1操作で完結するようにしました。
  • ページ順の自作インデックス(1枚に2p印刷) -> わりと使った
  • アルファベット順の自作インデックス(1枚に2p印刷) -> めちゃ使った
  • ハンズオンのWorkbook(chapごと×5. 1枚に2p印刷 + 裏表印刷) -> 全然使わなかった
  • SANS チートシート複数枚 -> 全然使わなかった
  • SANSポスター(A3印刷)
    • Hunt-Evil -> めちゃ使った
    • FOR500 -> わりと使った
    • ほか複数枚 -> 使わなかった
注意点として、セブンのコピー機はPDFの用紙サイズの値を見てるらしく、変なサイズだと印刷不可です。
ファミマのコピー機は用紙サイズは見てませんか、50ページ以上かな?になると印刷不能です。なので2in1で印刷するしかなくなります。

ハンズオンのWorkbookは2in1でA4に印刷すると細かい文字読めないので、やめたほうがいいです。結局本番時は全然使わなかったので良かったですが。

2回目の模擬試験を受ける

前日の深夜、模擬試験を受けたら、今度はなんと91%の得点率! でも素直には喜べないのです、なぜなら1回目の模擬試験と共通の問題が少しだけ出るから。それに関しては正答できて当たり前なので、本来の実力より数%より上がったスコアが出てると思います。
でも本番でも90%以上取って、GIAC Advisary Boardに入れてもらいたいな…!とここで思います。
なんだかんだ有って朝の5時まで作業。 15時から本番があるのにね。
おいおい、90%が遠のくぞ…!

もう一回テキストをざっと読む

試験本番の当日! テキスト5冊をざっと読みました。どこに何があるかを感覚でわかるようにします。
あんまり本文読んでられないので、画像と自分のメモだけ目を通しました。大事なページには付箋を貼りました。 ついでに、テキストを閉じてても何冊目かわかるように、冊番号を書いた、色分けされた付箋をつけました。

本番!

朝5時寝の10時起きなので眠くて死にそうです。これぞセルフハンディキャッピング(言い訳づくり)。 英和辞典を買い忘れてたので、試験会場に行く途中に買いました。 新宿のテストセンターで行いました。
画面の比率がヘンだし解像度低い! 画像が見にくい。
アスペクト比が適切に設定されておらず、少しだけ縦につぶれて横長に見えます。
ほか、机のスペースはそんなに広くなく、ほかの受験者も10人ほど同じ部屋で受験しているのであまりうるさくできません。
机の狭さ + 音に気を遣う環境 + 眠さ の相乗効果で、模擬試験のときだったらページをめくって確かめたであろう問題も「まぁこれで合ってるでしょ、なんたって模擬試験で91%とれたんだぞ」と慢心して調べずに回答していました。 その結果が88%! まぁなるべくしてなった感はあります。 来年、別な試験を受けるときは試験問題をボコボコにしてやりますよ。そう心に誓いました。

まとめ

振り返ってみると、自分が必須だなぁと思ったのは以下のことです。
  • テキスト本文全部通読 + メモ書き込み + インデックス作成
  • ハンズオンを通して手を動かす
  • ポスター印刷
以上。上記はコスパよい対策だと思います。 あと、試験は受験期限のラストぎりぎりに設定しないほうがいいです。自分がコロナとかになると試験受けられず、ヤバいことになります。数万円の再受験費用が必要です。(料金払うと伸ばしてもらえるんだったかな?)

コメント