GREM をとった

久しぶりに資格を取得した。資格については色々と思うところがあるが、試験に合格すると、うれしいものだ。悪くない。


しかし、苦しい 2 時間だった。制限時間も正答率も、ギリギリセーフで、「なんとかっ!」 という感じだった。
模試で 8 割くらいとれていたから、「大丈夫だろう」 と高をくくっていたのが甘かった。本番特有の緊張感もあり、模試よりも問題文が長く、難易度が高く感じた。
あぶないところだった。心臓に悪い。


あ゛、何の資格かと言うと、GREM(GIAC Reverse Engineering Malware)という、マルウェア解析の(入門的な)資格。


SANS(サンズ) という、セキュリティ分野に特化した教育を行う組織(米国)、そして SANS が運営している GIAC(ジアック) という認定試験は、日本でも、そこそこ有名だと思う。


ちなみに、SANS と同様、米国で有名な EC-Council のトレーニングも、日本で開催し始めた模様。中でも、特に知名度の高いコース&認定資格が、CEH(Certified Ethical Hacker) で、日本語の試験を含め、すでにローンチされている。今後は、こちらの日本での知名度も、上がってくるかもしれない。


さて、話を GREM に戻す。GREM が、どんな試験なのか、ざっくりメモしておく。子細については、公式サイトに上がっている程度のことしか書けないけど。


試験は、出題数 75 問、制限時間 2 時間の択一試験(だいたい 4 択)。約 7 割以上の正答率で、合格となる。資格試験に対応したトレーニングを受講した人は、トレーニングで使ったテキストを持ち込むことができる(ただ、試験中に参照する余裕はないw)。
なお、試験は、日本語には対応していない。残念ながら、全て英語。もっとも、マルウェア解析の文脈のみなので(使われる単語も限られているし)、英語があまり得意でなくても(TOEIC で 500 〜 600 点程度でも)、大きな問題はないと思う。


試験で、具体的に何が問われるのかについては、対応するコースの概要を見るとわかる。


コース名の 「Malware Analysis Tools and Techniques」 という名前からわかる通り、ツールを用いた解析のテクニックが、出題の中心となっている。具体的には、次のような内容が問われたという印象。

  • マルウェアの挙動を明らかにするために、どのような解析ツールがあるか
  • それは、どのような機能を持ち、どのようなときに使えばよいか
  • そのツールを使った結果、何がわかるか。そして、次に何をすべきか


上記のサイトの 「Course Syllabus」 を見ると、具体的なツールの名称(例えば、Process Monitor、Regshot、IDA Pro、Fiddler、Scylla、Volatility など)や、どのようなマルウェア(例えば、Day 5 の、SEH および TLS コールバックを含むコード誤検出手法を用いるマルウェア)を解析するのか、よくわかる。

他方、ここには書かれていない、例えば、Windows プログラムの仕組みの理解(PE ヘッダの構造など)や、複雑なアセンブラの読み書きなどは、おそらく問われないと思う。

もう少し傾向をつかみたいのであれば、模試が用意されているので、受けてみるとよい。オンラインの模試にしては、少々値が張るが、、まぁ仕方がない。


*                *                *


GIAC には、驚くほど、たくさんの種類のセキュリティの資格が用意されている。トレーニングにも試験にも、お金と時間が 「たっぷり」 かかるが、、セキュリティ技術に関するトレーニングは貴重なので、スキルアップの選択肢の 1 つとして、頭の片隅においておきたい。