みなさんこんにちは。

株式会社レオンテクノロジーの調査・監視部に所属する宮﨑です。

 

今回はペネトレーションテストの資格「eCPPTv2（eLearnSecurity Certification Professional Penetration Tester）」を11月中旬に挑戦し、無事に一発合格できました。

eCPPTv2合格通知

 

OSCPは国内でも有名で受験記が多くありますが、eCPPTv2については国内での受験記が存在しません。
また、この資格はしばしばOffsec社のOSCPと比較されるため、OSCPとの違いを含め情報共有したいと思います。

 

---

eCPPTv2とはどのような資格？

eCPPTv2は、ペネトレーションテストのスキルが評価される資格です。

INE社の資格一覧では、ペネトレーションテストに関する資格（WebやMobileは除く）は2023年12月現在 2種類が用意されています。

• eJPTv2（ジュニア）
• eCPPTv2（プロフェッショナル）

 

eCPPTv2は基本的なペネトレーションテストのスキルの習得と、スタックバッファオーバーフローのスキルも身に付けるにつける必要があるため、旧OSCPと似た内容かと思います。

 

---

どんな人におすすめの試験か

ペネトレーションテストの基礎スキルはあるが、その次にレベルアップしたい人向けだと思います。

私の場合、最終的にはOSEPの取得が目標にあるため以下の流れでスキルアップを考えています。

eJPTv2 → eCPPTv2 → OSCP → OSEP

 

いきなりOSCPに挑戦するにしてもOSCPの場合、一番安いLABと試験1回がセットのプランでも20万近くしますが、

INEでは全コースにアクセスできる年間プランが$749です。各試験は$200 ~ $400のため費用も安く始めることが可能です。
そういった金銭面やスキル面で懸念が残る場合は、INE社のeCPPTv2がおススメだと考えています。

 

---

eJPTv2と比較

私は10月にINE社のジュニアレベルのペネトレーションテストの資格eJPTv2に挑戦し、無事に合格しました。
その際の受験記はこちらから閲覧可能です。

 

eJPTv2とeCPPTv2の試験で最も差があった部分は、レポート提出の有無でした。
（もちろん難易度や試験期間には違いはありますが、当たり前の話なのでここでは割愛します）

 

eJPTv2では全35問の4択問題で、実際にマシンを攻略した結果得られた情報を回答するだけで大丈夫でした。

一方、eCPPTv2は検出した指摘事項に対する1からレポートを書く必要があるため「見つけて終わり」ではなく、その指摘事項の再現方法、危険度、改善策まで記載する必要がありました。

 

---

OSCPとの比較

OSCPとの比較については、OSCPを持っていないため取得しているメンバーのヒアリングや、他のレビューを参考にしました。

• 難易度と知名度
• 試験期間
• ツールの制限
• 環境
• 試験内容
• ボーナスポイントの有無
• 配点

 

■難易度と知名度

一般的には、OSCPの方が難易度が高いとされています。海外のセキュリティ資格ロードマップを見ると、OSCPはeCPPTよりも上位に位置付けられています。

以下は海外の方が作成されたセキュリティの資格ロードマップ一覧です。

Security Certification Roadmap

 

この中からeCPPT（v2がないため旧eCPPTで比較）とOSCPの位置を比較すると、4ブロックほど差があることが分かります。

そのため、世間一般的にeCPPTv2に比べてOSCPが難易度が高いことが分かります。

また、知名度についてはOSCPの方が圧倒的に海外・国内問わずあります。

 

■試験期間

eCPPTv2は実技7日、レポート7日の計14日間です。

OSCPは実技1日、レポート1日の計2日間です。

試験期間の差については、そもそもの出題問題が異なるため比較は難しいですが、それでもOSCPのほうがタイトであるといえます。私自身もOSDAに挑戦した際、試験期間の短さから睡眠時間を大きく削った記憶がありますが、eCPPTv2ではそのようなことはありませんでした。

 

■ツールの制限

eCPPTv2ではMetasploitなどのツール制限がないです。そのため、試験は基本的な攻撃方法とMetasploitのモジュールの使い方などを把握しておくことでマシンの攻略は可能だと感じました。
海外の方のレビューではMetasploitを使わずに合格した方もいたため、あえて難易度を上げる方法も良いなと思いましたが、まずは試験に受かること優先でツールをガンガン使いました。

一方でOSCPには厳しい制限があります。

この制限にはMetasploitやSQLmapなどの自動化ツールが該当します。

https://help.offsec.com/hc/en-us/articles/360040165632-OSCP-Exam-Guide

■試験環境

eCPPTv2では実技・レポート期間ともに試験監督の監視がないです。
そのため、かなりストレスフリーで受験することができました。

OSCPは実技期間だけモニターとカメラで自分自身を映す必要があるため、準備が必要であることやストレスが溜まりやすい環境といえます。

私もOSDAを受験した際に24時間のカメラ監視の環境で試験を受けましたが、非常にストレスが溜まりました。

そのため、OSCPの方が監視された試験環境のため、資格としての評価は正しい（正確）と感じています。

 

■試験内容

eCPPTv2はスタックバッファオーバーフローによる侵害がメインですが、OSCP 2023ではAD侵害がメインです。

そのため、これらの試験はお互いに試験で必要とされるスキルが異なります。

eCPPTv2ではスタックバッファオーバーフローを成功させなければならないため、多少のアセンブリやデバッガーの知識やエクスプロイトコードの作成が必要です。

対して、OSCPはAD環境への侵害が求められるためAD侵害のスキルは必須です。

 

■ボーナスポイントの有無

eCPPTv2ではボーナスポイントは存在せず、単純にマシンを攻略した結果のレポートを評価されます。

一方で、OSCPはLABの攻略数が一定以上であれば10ポイント試験に加算される仕組みがあるため、マシンの攻略数が足りない場合でもボーナスポイントで補うことが可能です。（記載しているボーナスポイントの付与条件は異なる場合があります）

 

■配点

eCPPTv2ではどのマシンを攻略したらXX点といった情報は公開されていないため、試験中に自分が合格ラインにいるのかなどは分かりません。

一方で、OSCPであればマシンごとの点数が公開されているため試験中に今何点取れているのか、不足しているのかが分かるため、ここは親切な試験であると思います。

 

---

SOCアナリストが受験した理由

eJPTv2の受験記でも記載した内容になりますが、攻撃手法についての知識がないと「見つけれるものも見つけることができない」ことになってしまいます。
実際に私は9月に受けたeCIRという試験で攻撃の証拠の見落としや、見つけた情報の組み合わせがうまくできず何の攻撃であるか分からずに不合格になってしまった経験があります。

その時に、ちゃんとレッドチームの勉強にも力を入れるべきだと感じ、eJPTv2、eCPPTv2に挑戦しようと思いました。

 

---

勉強方法

私は前提条件として、今年10月にeCPPTv2のワンランク下であるeJPTv2に挑戦し合格しています。

 

そのため、基礎は身につけている状態だったため後はINEのeCPPTv2向けのコンテンツのみを利用しました。

このコースは全部で8コース用意されています。

 

• System Security（シェルコードやBuffer Overflow「以下、BOF」など）
• Network Security
• PowerShell for Pentesters
• Linux Exploitation
• Web App Security
• Wi-Fi Security
• Metasploit & Ruby
• Exam Preparation

 

基本的には試験は上記コースを受講していれば問題ないです。

ただし、INEではBOFのLABが用意されていなかったため別コンテンツで学習する必要がありました。

 

以下TryHackMeのBuffer Overflowのroomから学習可能です。

https://tryhackme.com/room/bufferoverflowprep

 

 

---

試験までに準備したこと

• チートシート
• 試験で使用する端末のツール準備

 

チートシート

使用するMetasploitのモジュールやコマンドなどを利用シーンなどにシート分けを行い、振り返れるように作成しました。

他の方が作成されたチートシートを確認することも良いと思いますが、やはり私は自分で実行したコマンドを1つ1つメモしていく方法があっているようでした。

 

試験で使用する端末のツール準備

eJPTv2はブラウザベースのKaliから受験できたため、何も用意する必要はありませんでしたが、eCPPTv2では自身の環境からVPNで試験環境に接続する必要があります。

そのため、各ツールの用意やアップデートなどは事前に行っておくとスムーズに取り掛かることが可能です。

 

---

試験について

試験概要については以下のとおりです。

• 試験時間：14日間
  • 実技：7日間
  • レポート：7日間
• 採点方法：CTF形式ではなく、ホストの脆弱性を洗い出し、評価、改善策の提案
• 合格ライン：70点以上
• 合否結果　：30営業日以内（私の場合はDMZのrootが取れたレポートを提出したため当日に連絡あり）
• 試験費用：$400

 

レポート提出後、当日にメールで合格通知が届き無事に合格証を手に入れることができました。

---

合格する確率を上げるため

以下の項目を意識すると良いと感じました。

• 証拠となるスクリーンショット
• 詳細で論理的なレポートの作成

 

証拠となるスクリーンショット

他の試験同様、eCPPTv2試験では証拠となるスクリーンショットが非常に重要です。

私は試験中に合計で約75枚のスクリーンショットを撮影しました。ブルーチームの試験と比較すると少ないですが証跡は必ず多く取っておきましょう。

また、使用したコマンドも必ずメモしておきましょう。

 

詳細で論理的なレポートの作成

レポートでは「攻撃方法」「脆弱性の評価」「改善策」を全ての検出事項に対して記述する必要があります。
レポートは約66ページに及びましたが、業務で行う脆弱性診断に似ていたため実務的で良い試験だと感じました。

 

---

試験を終えて

この試験を通じて、レッドチーム側の知識が大きく向上したと感じています。

私はブルーチームの業務を行っていますが、攻撃手法を深く理解しないと、検知すべきイベントを見落とすリスクが高まります。

このため、ブルーチームの方々にもこの試験を受けることを強く推奨します。

 

また、将来的にはOSCPやOSEPに挑戦する予定です。

来年中にこれらの資格取得を目指し、今後もセキュリティ分野での成長を続けていきたいと思います。

 

---

最後に

弊社に対して、今回も私のスキル向上のために受験代を全額負担してくださったこと、本当にありがとうございました。