みなさんこんにちは。

株式会社レオンテクノロジーの調査・監視部に所属する宮﨑です。

 

今回はSOCアナリスト向けの資格「eCIR（eLearnSecurity Certification Incident Response）」を11月中旬に挑戦し、無事合格できました。

 

この資格は1度だけ不合格になって再挑戦の末、合格できたため自分の反省点なども踏まえて共有していきます。

 

---

eCIRとはどのような資格？

SIEM（Security Information and Event Management）を用いて攻撃のイベントを調査する試験です。

普段SIEMを使った調査に携わっているSOCアナリストにお勧めの試験だと感じました。

INE社から提供されているSOC向けの資格としては2種類用意されており、

• eCIR（インシデント・レスポンス）
• eCTHPv2（脅威ハンティング）

 

どちらも、SplunkとELK 2種類のSIEMを用いて調査する必要があります。

なお、後者のeCTHPv2についての受験記も公開していますので併せて参考にしてみてください。

 

---

どのような人にお勧めの試験か

私自身SOCに関する資格は3種類（OSDA, eCIR, eCTHPv2）保有しており、その視点からお伝えします。

 

■お勧めできる方

• OSDA保有者といった一定のインシデントログ調査のスキルがある方
• OSCPやeCPPTv2レベルでレッドチームの知識がある方
• SOCアナリストとして成熟された方

 

■お勧めできない方

• SOCアナリストとして日が浅い方
• SIEMの基本的な理解が浅い方
• レッドチームの知識が浅い方

 

あくまで個人的な経験にもとづく仕分けですが、SOCアナリストが1番最初に挑戦する資格にしては難易度が高く、INE社の学習コンテンツも十分とはいえなかったため、OSDAからの挑戦をお勧めします。

 

---

1度不合格になった原因

本試験は9月に1度挑戦しましたが、結果は不合格でした。
ここで大きな反省点と今後の課題が明確に見えたので、ポジティブに考えるのであれば落ちてよかったともいえます。

 

■失敗1 OSDAに受かったという慢心

Offsec社のOSDAに合格していたため、ある一定のSOCアナリストとしてのスキルはあるだろうと自負していました。
また、知名度で考えるとOffsec社の方が有名であるためeCIRの試験も同レベルだと勝手に謎の判断をしてしまいました。

 

■失敗2 Splunkの知識不足

eCIRはSplunkとELKどちらの知識も必要であり、求められるスキルとしては「調査したい内容を自由にクエリーを書いて調査できるレベル」が大事だと感じました。

ELKの知識はある程度あったもののSplunkでの調査はほぼ初めてであり、INE社のeCIR向け学習コンテンツで知識を蓄えました。

ただし、上記学習コースのみではSplunkの説明やLabが圧倒的に不足しており、その状態で試験に挑んでしまいました。

 

 

■失敗3 攻撃手法の知識不足

攻撃手法についてはブルーチームの学習を通して学んでいっていましたが、実際にCTF形式などの手を動かしてレッドチームのスキルを身につけていたかというと、正直微妙なレベルでした。1年以上前にTryHackMeにハマって取り組んでいた時期もありましたが、エンジニアなりたてだったこともあり必ずしもスキル習得に繋げることができなかったことや、マルウェア解析に集中していた時期などもあり攻撃手法への理解が疎かになっていました。

 

---

不合格後に取り組んだ内容

自分がなぜ不合格になったかは明確であったため、それを補うことに注力しました。

 

■攻撃手法の知識拡充

私自身が資格取得をモチベーションにしている性格でもあるため、勉強した結果として資格が取れるコンテンツが良いと思いました。
INE社には2種類のペネトレーションテストの資格が用意されているため、こちらを選びました。

挑戦した資格については以下の2種類です。それぞれ、受験記をまとめているため参考になると幸いです。

eJPTv2

ジュニアレベルの資格であり、基礎を学ぶにはお勧めの資格

 

eCPPTv2

プロフェッショナルレベルの資格であり、eJPTv2からさらに踏み込んだスキルや脆弱性の評価が試される資格

 

基本的には上記の内容で学習を進め、追加でOSCPなどにも出てくる環境の攻撃手法も学習しました。

（eCIRの出題範囲に関わってくるため、濁して表現を用いています）

 

■Splunkの知識拡充

eCIRはレポート提出から合否発表まで丸一ヶ月かかります。
そのため、再挑戦するまでの期間にSplunkの知識をつけようと考え、同じくSplunkとELKを用いた試験であるeCTHPv2の学習を開始しました。

こちらを学習しつつ、各SIEMのスキルを高めようと思いeCTHPv2向けの学習コースを確認したところ、

eCIRに比べて多くのSplunkとELKのLABが用意されていました。

eCIRの方だとSplunkとELK合わせても3つのLabしか用意されていません。

eCIR学習コンテンツ

 

それに比べてeCTHPv2の学習コンテンツではそれぞれLabの数がSplunkが5個、ELKが3個用意されていました。

eCTHPv2学習コンテンツ

 

また、Sysmonの学習も併せて行えるので先にeCTHPv2から手をつけるべきでした。

（Sysmonの理解がないと調査が難航するため）

 

---

合格までの学習方法

基本的な学習方法は上記やeCTHPv2の受験記に記載しているため軽くまとめます。
以下、取り組んだ内容です。

 

• eCIRの学習コンテンツ
  • SplunkとELKのLab
• eCTHPv2の学習コンテンツ
  • SplunkとELKのLab
  • Sysmonの学習
• Splunk Botsを用いた学習
  • Splunkの調査クエリーなどの習得
• TryHackMeを用いた学習
  • Splunkの調査クエリーなどの習得
  • レッドチームの学習
• eJPTv2の学習コンテンツ
  • レッドチームの学習
• eCPPTv2の学習コンテンツ
  • レッドチームの学習

 

---

試験について

試験概要については以下のとおりです。

• 試験時間：4日間
  • 実技：2日間
  • レポート：2日間
• 問題の種類：2種類
  • Splunkを使用したログ調査
  • ELKを使用したログ調査
• 合格ライン：70点以上
• 合否結果　：1ヶ月
• 試験費用：$400

 

2度目のレポート提出後、丸一ヶ月後にメールで合格通知が届き無事に合格証を手に入れることができました。
（もう次の再試験はないので、結果待ちの一ヶ月間はあまり生きた心地はしませんでした）

 

 

---

合格する確率を上げるため

以下の項目を意識するとよいと感じました。

• 証拠となるスクリーンショット
• 詳細で論理的なレポートの作成
• 公開情報を利用した調査

 

証拠となるスクリーンショット

他の試験同様、eCIR試験では証拠となるスクリーンショットが非常に重要です。

私は試験中に合計で約400枚のスクリーンショットを撮影しました

（実際のレポートに埋め込んだスクリーンショットはもっと少ないです）

 

詳細で論理的なレポートの作成

レポートでは、「攻撃の順番や使用された手法」を順序立てて記述し、特定の攻撃手法に関する見解を述べる必要があります。

私の場合、試験のレポートは最終的に80ページを超える量となりました。

 

公開情報を利用した調査

不審な実行ファイルやコードを発見した際には、そのファイルが何であるかなどを公開情報を用いて調査しました。

不審な点に気づく能力と公開情報を利用した調査能力が、この試験では特に求められます。

 

---

注意すること

レポートサイズに注意が必要で、私は少し苦戦しました。
レポート提出は指定されたWebページからアップロードする必要がありますが、10MBまでしか受け付けられません。

また、フォーマットもPDFかZIP、tar.gzの3種類しか対応していません。

 

そんなことは考慮せずに欲しい情報や念の為に入れておきたい情報をレポートに入れ込んでいると、全体の半分くらいで10MBを超えてしまいました。
この時点でページ数は60ページ近くに達していたので、急遽改善する必要がありました。

 

私が取り組んだ内容としては、以下2点です。

 

■ トリミング

文字より画像が容量を多く取るため、まずは不要に大きく撮影した証跡画像を、すべてコンパクトにトリミングしました。
また、その際に調査クエリーも証跡画像に映り込むように意識していましたが、それらも切り落とし、その代わりにクエリーは文字として残すようにしました。

 

■ 画素数を下げる

レポートをPDFに出力する際、組み込んだ画像の画素数を80%ほどに落として出力しました。
70%だと文字がボヤッとして読めなくなるため、ギリギリを攻めました。

 

---

試験を終えて

この試験を通して、OSDAのレベルで満足していた自分のスキル不足を知ることができ、さらに一歩成長できました。
クエリーを用いた調査も苦手ではなくなり、積極的に業務でも取り入れることができました。

今回はブルーチームの資格を取得しましたが、この資格を取得できるまでの過程で2種類のレッドチームの資格も取得できたことも、非常に自身の成長につながったと感じています。

 

---

最後に

まず、弊社に対して今回も私のスキル向上のために受験代を全額負担してくださったこと、本当にありがとうございました。