みなさん、こんちにはm(@the_art_of_nerd)です。
今回はOffsecの高難易度認定「OSCE3」を取得できたため、取得するまでの3年間で「どのような学習方法を行なったか」「そのほか合格した資格」などを共有できればと思います。
目次
- 3年間で取得した資格一覧
- OSCE3とは
- 忙しい人向け
- 3年前のスキル
- なぜスキル向上に力を入れたのか
- 1年目(2021年9月 ~ 2022年8月)
- 2年目(2022年9月 ~ 2023年8月)
- 3年目(2023年9月 ~ 2024年8月)
- 今後について
3年間で取得した資格一覧
(完全に実技試験の楽しさの沼にハマっています)
取得順
- OSDA(2023年3月)
- Zero2Automated(2023年8月)
- eCDFP(2023年9月)
- eJPTv2(2023年10月)
- eCTHPv2(2023年11月)
- eCPPTv2(2023年12月)
- eCIR(2023年12月)
- OSWA(2024年4月)
- OSEP(2024年4月)
- OSWP(2024年5月)
- OSWE(2024年5月)
- KLCP(2024年6月)
- OSCC(2024年8月)
- OSED(2024年8月)
- OSCE3(2024年8月)
OSCE3とは
今回の目標としていたOSCE3について軽く説明します。
OSCE3とはOffsecが提供する認定資格「OSED」「OSEP」「OSWE」この3種類すべて合格した際に追加で認定される資格です。
OSED:x86のWindowsのユーザーモードで動作するエクスプロイトの開発
OSEP:AV回避・突破がメインのペンテストの資格(OSCPの上位資格)
OSWE:ホワイトボックスのWebペンテスト(OSWAの上位資格)
難易度については、以下のセキュリティロードマップを参考にします。
一度は目にされた方も多いかと思いますが、セキュリティの資格を難易度や分野ごとにまとめてくれた一覧です。ただし、全てがこの難易度通りというわけでもないので、あくまで参考程度として利用します。
OSCE3に必要な資格は右上に集まっており、難易度としては「エキスパート」に属しています。
また、試験も3つとも約72時間かつ、47時間45分の監視環境付きのため、求められる技術力のハードルの高さや精神的な負担が大きいです。
忙しい人向け
Q. 学習方法
A. ハンズオン形式がメイン。たまに書籍
Q. 継続して学習する方法
A. TryHackMeで365日連続学習バッチを手に入れましょう。終わった頃には癖がついています
Q. セキュリティ初心者におすすめするコンテンツ
A. 多分TryHackMe
Q. モチベ
A. お金と技術力
Q. 日本の資格は
A. ないです。2年前に安全確保支援士の午前1で落ちてから諦めました
Q. 資格費用は実費か
A. 全部会社負担です。真面目に働いて成果を出した上で毎回上司と役員に頼み込んでいます。従業員に投資してくれる会社を選んで正解でした。
Q. 今後
A. 未取得のOSCPとOSMRを取得し、残り期間で改めてOffsecの内容を学習し直そうと考えています
3年前のスキル
Linuxのコマンド一切わからず、会社のモニターに付箋紙を貼り付けていたレベルです。
私の背景として、2021年9月にセキュリティベンダーの営業から、SOCアナリストとして部署異動を行いました。この異動には、当初営業として入社する前から、セキュリティエンジニアになりたいという思いが強いものの、何しろ未経験だったことから、当時の採用担当の方から「営業から入ってみませんか」と提案いただいたのがスタートです。
当時の業務作業はオペレーターとしてのSOC作業がメインで、マニュアルに沿ってアラートを確認・報告する機械的な作業でした。その傍らで、ITの基礎やセキュリティの学習を進めていきました。
なぜスキル向上に力を入れたのか
当時は以下の不安からスキル向上に努めていくことを決意しました。
- 将来的にSOCアナリスト以外の業務に関わりたい
- オペレーターとしてのSOCでは給料が安い
- 今の会社が潰れた場合、他に行ける企業が限られている(SOCに絞られる)
- 30代になると体力の衰えから学習できる時間が少なくなると予想し、20代のうちに詰め込めたかったから
このような不安を解決させるべく、業務の空き時間や業務後・休日を使って学習を開始していきました。
1年目(2021年9月 ~ 2022年8月)
この時期は諸々準備期間として、最低限必要なスキルを蓄えることに専念しました。
- 2021年9 ~ 10月
- PortSwigger Lab
- Webアプリケーション診断の理解を深めるために開始
- 徳丸本
- PortSwigger Lab
- 2021年11 ~ 12月
- 2022年1月
- 2022年3月
- Offsec契約開始
- 元同僚にOffsecとOSDAの存在を教えてもらう
- Learn Oneを会社負担で購入後は、基礎的なコンテンツ(100レベル)に時間をかけて取り組む
- プログラミング開始
- 元同僚に「Pythonを学ばないか」と提案され、そこから業務で使用するツールを複数作成していく中でプログラミングの理解を深めていく
- Offsec契約開始
- 2022年7 ~ 8月
2年目(2022年9月 ~ 2023年8月)
マルウェア解析とSOCアナリストとしてのスキル向上に努めた1年です。
- 2022年9 ~ 12月
- 2023年1月
- TryHackMe
- 365日連続学習記録を達成し、無事にバッチをゲット
- TryHackMe
- 2023年3月
- Offsec
- OSDA(SOC-200)受験 & 合格
- おそらく日本人第1号のため、受験記をすぐさま公開
- 試験内容
- SIEMを使ったインシデント調査
- 実技1日 + レポート1日の試験
- Offsec
- 2024年4月
- 2023年5月
- マルウェア解析
- Zero2Automated契約開始
- ハンズオン形式で学べると噂のZero2Automatedの存在を知り、会社に契約してもらう
- マルウェア解析
- 2023年7月
- 2023年8月
3年目(2023年9月 ~ 2024年8月)
レッドチームのスキルが不足していたため、それを補いつつブルーチームも強化していった1年間です。
- 2023年9月
- 2023年10月
- レッドチームのスキル強化(攻撃手法を熟知しないとブルーチームで活躍できない)
- eJPTv2受験 & 合格
- サブスク中のeLearn Securityが提供している、ジュニアペンテストの認定資格に合格
- 試験内容
- 入門用ペンテスト
- 実技1日の試験
- レッドチームのスキル強化(攻撃手法を熟知しないとブルーチームで活躍できない)
- 2023年11月
- 脅威ハンティングのスキル強化
- eCTHPv2受験 & 合格
- サブスク中のeLearn Securityが提供している、脅威ハンティングの認定資格に合格
- 試験内容
- SIEMを使った調査やメモリ解析など
- 実技2日 + レポート2日の試験
- 脅威ハンティングのスキル強化
- 2023年12月
- レッドチームのスキル強化
- eCPPTv2受験 & 合格
- サブスク中のeLearn Securityが提供しているペンテストの認定資格に合格
- 試験内容
- eJPTの上位資格
- 14日間で実技 + レポートの試験
- SOCアナリストとしてのスキル強化
- eCIR 受験 & 合格
- サブスク中のeLearn Securityが提供しているインシデント調査の認定資格に合格
- 試験内容
- SIEM2種を使ったインシデント調査
- 実技2日 + レポート2日の試験
- レッドチームのスキル強化
- 2023年1月 ~ 3月
- Offsecの準備
- Learn Unlimitedを会社に契約してもらうために懇願している時期
- 各認定資格のシラバスを確認し、先行して必要な知識を学習
- Offsecの準備
- 2024年4月
- 2024年5月
- 2024年6月
- Kali Linuxの知識強化(?)
- KLCP(Pen-103)受験 & 合格
- 言わずもがなのおまけ資格
- ただし、2回不合格で3度目で合格
- 問題も解答も全て英語でサイト翻訳できずに辛かった
- 試験内容
- 選択問題式90分
- Kali Linuxの知識強化(?)
- 2024年8月
- 基礎知識の見直し
- OSCC(Sec-100)受験 & 合格
- Offsecから新しくでた入門向けの認定試験
- 試験解禁日に受験 + 合格し、DiscordにOSCC認定者用チャンネルで1番最初だったので、おそらく世界最速合格
- 試験内容
- 攻撃・防御・構築の3ジャンル
- 実技 + 選択問題6時間
- エクスプロイト開発スキル強化
- OSED(EXP-301)受験 & 合格
- 7月から全部の時間を使って試験対策
- ROPとカスタムシェルコードは分かると非常に楽しい
- 試験内容
- DEP/ASLRバイパスやカスタムシェルコード
- 実技2日 + レポート1日
- OSCE3達成
- この時点で「OSEP」「OSWE」「OSED」を取得したので、OSCE3無事に達成
- 基礎知識の見直し
今後について
今年中にOSCPとOSMRを取得し、Offsecの100 ~ 300に関してはコンプリートさせたいと思います。将来的にやる気や予算がつけばOSEEにも挑戦したいですが、かなり先になりそうです。あとは、Offsecの合格したコンテンツの再学習(スピード重視で学習したため)も行わなければならないため、その辺りに注力して、スキルをしっかり自分のものにできればと考えています。
この記事が、これからセキュリティ分野に進まれる方にとって、何から役に立つ情報であれば幸いです。
最後までブログを読んでくださり、ありがとうございました。