CompTIA Pentest+ 受験記
Pentest+というペネトレーションテストに関する試験に合格しました。 現時点(2019/08)でPentest+ に関する日本語の情報がほとんど見当たらなかったため、勉強方法やレベル感について書いておこうと思います。
私のスキルレベル
- セキュリティ関係の仕事をしている
- 脆弱性診断/ペネトレーションテストの実務経験なし
- セスペ、ネスペ、CompTIA CySA+、SSCPあたりの資格を持ってる
Pentest+ とは?
CompTIAが2018年7月から配信開始したペネトレーションテストに関する資格です。
試験は、選択肢の中から1つもしくは複数選択する問題とパフォーマンスベーステストと呼ばれるシミュレーション形式の問題に分かれています。 前者は問題文にシナリオが書いてありそれに合致する用語・ツール・対策などを選択するといったもので、後者はそれを少しだけ複雑にしたものでした。(あんまり詳しく書くとネタバレになってしまうのでこの程度で。)
レベル感としては、用語レベルの問題が多く、ペネトレーションテスト入門といった感じでした。OSCPなどの実践的な試験と比べると要求レベルは低いですが、私みたいにペネトレーションテストについてあまり知らない方であれば最初の一歩としての具体的な目標にはなるのかなと思います。
教材について
日本語で書かれたPentest+に関する本は今のところありません。ペネトレーションテストに関する日本語の本はありますが、「計画とスコープ」と「報告とコミュニケーション」あたりのドメインをカバーしきれるものは見当たらず(あったら教えてください!)、使用しているツールもまちまちなので、網羅的に勉強していきたいのであれば基本的に英語のソースを使用することになります。
使用した教材
1. CompTIA PenTest+ Certification All-in-One Exam Guide (Exam PT0-001) (English Edition)
参考書です。最初に買ったのですが1/3もいかないところで飽きてしまって途中から辞書代わりに使ってました。Webサイトで受けられる問題が170問ほど付いてきます。
2. CompTIA PenTest+ Practice Tests: Exam PT0-001
問題集です。最近発売されたので英語で書かれたレビューすらなく恐る恐る買ったのですがとてもいい問題集でした。
こんな感じのSybexのWebサイトがあり、そこで問題を解くことができます。問題数も1000問あり充実してるのでおすすめです。
3. CompTIA Pentest+ (Ethical Hacking) Course & Practice Exam (Udemy)
https://www.udemy.com/pentestplus/
Udemyの講義です。おっちゃんがペネトレについてのあんなことやこんなことを教えてくれます。 動画内でデモを行ってくれたりもするのでわかりやすいです。自分でいじってみたほうが身に付きますが…。
4. HackTheBoxやVulnHubなどの脆弱な環境
攻撃が許可されているマシンを攻略して学んでいく方法です。 攻撃手法やツールについて学びたいのであればこの方法が一番よいですね。
5. 出題範囲表
https://www.comptia.jp/pdf/CompTIA%20PenTest+(PT0-001)%20Exam%20Objectives_JA.pdf
意外と役に立ちます。ここに記載されている用語を調べていくだけでも勉強になるかと思います。
感想
脆弱性診断やペネトレーションテストを行ったことがない者の観点から言わせてもらうと、ペネトレ業務の雰囲気が味わえたしと知識も付いたのでそれなりに満足した、といったところです。
ただ、「計画とスコープ」と「報告とコミュニケーション」あたりのドメインは実際に業務を経験しないと役立ちにくいところなので注意が必要ですね。
攻撃手法や技術的なことだけを学びたい方であれば、HackTheBoxやVulnHubなどの環境を攻略したりOSCPを受けたほうが満足度は高いかと思います。