はじめに
昨年の6月にCompTIAのPenTest+に756点(900点満点、合格点は750点)で合格しました。元々脆弱性評価やペネトレーションテストの業務経験がない中で受験したので想像がしづらく、難しく感じる点もありましたが、業務の全体像を体系的に学ぶことができて結果的には受験して良かったと感じています。
CompTIA PenTest+とは?
CompTIA PenTest+は最新のペネトレーションの手法やネットワークのレジリエンスを判断するために必要となる脆弱性評価と管理等のスキルを評価する資格です。
この資格取得を通じて、脆弱性評価やペネトレーションテストで必要な技術的なスキルだけでなくテストの前後でのクライアントとのやり取りで何を重視する必要があるのかということなどの管理面でのスキルについても学ぶことができます。
受験のきっかけ
上記の通り、私自身、脆弱性評価やペネトレーションテストの経験がなく、ネットワークエンジニアからセキュリティエンジニアにキャリアチェンジして1年程度だったこともあり、今後の業務の幅を広げるために受験を決めました。
ただし、以前に所属していた組織の方針でCompTIA Security+とキャリアチェンジ前の事前学習としてCompTIA CySA+は既に取得していましたので、その流れで自然とPenTest+を受験しようとしたというのもあります。
試験概要
2023年の1月いっぱいで以前の試験範囲のPenTest+(PT0-001)が終了となったため、私が受験した際には改訂PenTest+(PT0-002)となっていました。
試験時間は165分で問題は最大80問あります。合格スコアは750点以上となっています。出題の形式としては、単一/複数選択の問題とパフォーマンスベーステストがあります。
CompTIA PenTest+ 出題範囲
出題の範囲と比率は下記の通りになっています。体感として全体的に満遍なく出ていた感覚がありますが、その中でも3章の「攻撃とエクスプロイト」が最も出題されます。
| 試験分野 | 出題比率 | |
| 1.0 | 計画とスコープ | 14% |
| 2.0 | 情報収集と脆弱性のスキャン | 22% |
| 3.0 | 攻撃とエクスプロイト | 30% |
| 4.0 | 報告とコミュニケーション | 18% |
| 5.0 | ツールとコード分析 | 16% |
改訂により増えた出題範囲は下記の通りになっています。
- 1.3 与えられたシナリオに基づいて、プロフェッショナリズムと完全性を維持することによって、倫理的ハッキングマインドセットを実証することができる。
- 2.3 与えられたシナリオに基づいて、偵察の結果を分析することができる。
- 3.4 与えられたシナリオに基づいて、攻撃ベクターを調査し、クラウド技術での攻撃を実施することができる。
- 3.5 特化したシステムに対する共通攻撃と脆弱性を説明することができる。
- 5.1 スクリプトとソフトウェア開発の基本概念を説明することができる。
中でも私が受験した際の問題の体感としては、3.4のクラウド技術の部分は明確に範囲が追加されていると感じました。これは世間的にインフラをクラウドに移行する流れに沿ったものであると考えます。
勉強方法
今回、私は下記をベースに学習をしました。
1. Top Out Human Capital社 CompTIA PenTest+(PT0-001)研修 ※受講は1年程前
2. 公式のPT0-002出題範囲
3. CompTIA PenTest+ Practice Tests: Exam PT0-001
1の研修は幸運なことに会社の費用負担で3日間受講することが出来ました。ただし、PT0-001と記載があるようにこれを受験したのはPT0-002に改訂される前のことです。実は前の部署にいるときに研修自体は受講していたのですが、その後業務都合や組織異動が重なったこともあり、気が付けば改訂後のPT0-002しか受けられなくなってしまったのでした。
そのため、実質試験前に学習したのは公式のPT0-002出題範囲を使った学習とCompTIA PenTest+ Practice Tests: Exam PT0-001の問題集を使った学習になります。
おすすめは先に2で知らない用語やツールを確認し、ある程度把握できてから問題集をすることです。ある程度理解ができているうえで問題を解くことができるため、知識の定着もできますし、どのような問題の出され方がされるのかという観点で問題を解くことができます。
少し正確性に欠ける可能性があるのですが、私は公式の出題範囲から知らないツールをまとめて調べるときにChatGPTを使いました。知らないツールや用語を列挙するだけで説明をまとめてもらうことができ、手で調べて情報をまとめるよりも圧倒的に早いので最初のまとめ方としておすすめです。その後ツールの詳細を調べる際に誤りを修正したり、情報が足りていないところを足せれば良いと思います。
結局私自身は研修受講の他に受験前1か月で40時間程度勉強して合格することができました。1か月間予定のない平日は1~2時間程度勉強し、土曜日に4時間程勉強して合計で40時間です。CompTIAの認定試験は公式により「新たなビジネス要素の導入に際してのスキルチェンジ、今後IT職に就かれる学生やキャリアチェンジの皆様にITスキルのファーストステップとして活用されています。」と評される通り、細かい内容を深く学ぶというよりも広く浅く学ぶことが重視されているように思えますので、広く理解ができれば1か月でも合格は可能かと思います。
所感
最終的に1か月という短い期間の学習で合格をしましたが、脆弱性診断やペネトレーションテストの業務経験がない中で業務の雰囲気をつかむにはとても良い資格だったように思います。どの資格もそうですがその資格に関連する業務を遂行するには、資格の知識だけでなく業務に合わせた学習は別途必要になるものかと思いますので、この資格をベースにより実践的な深い内容を学ぶのが良いように思います。
参考書籍
コメント