先日、GIAC Cloud Forensics Responder (GCFR) FOR509を受験し、合格した。
個人的にGREM以来、約4年ぶりのGIAC試験だった。
以下、感想と備忘録。
受験の動機
ここ数年、仕事でMicrosoft 365の侵害調査に携わる機会が増えたので、一度 Cloud Forensicを体系的に学んで、調査能力の向上を図りたかった。また、将来的にAWSやGoogle Cloudの侵害調査に携わることがあるかもしれないので、それらにも備えたかった。
受験までの流れ
自分のペースで勉強できるということでオンラインのオンデマンドのトレーニング・コースを選択した。トレーニングの教材は以下の通り。
- コース教本5冊 + Workbook 1冊
- ラボ用のVM
- 模擬試験2回
毎日1〜2時間ほどコース動画を見てラボをこなしつつ、粛々と勉強した。コース動画の視聴が完了した後は、コース教本を熟読し、マーカーを引いたり付箋を貼っていった。。。が、あまりにも覚えることが多くて付箋だらけになってしまい、インデックスの作成方法を見直すことに。詳しくは後述。
コース教本を読了後、最終ラボにとりかかった。最終ラボの完了後、再びコース教本を全て読み直して、小クイズとラボもやり直した。コース教本を2周した後、満を持して一度目の模擬試験を受けたが、結果は正答率67%で合格ライン ギリギリ (最低合格ラインは62%)
先述の通り、教本が付箋だらけで、インデックスとして機能しなかった。これは不味いと思い、インデックスを改良することに。
インデックスの改良後、コース教本3週目に突入。コース教本3週後、2回目の模擬試験を受けた。インデックスの改良が功を奏し、正答率が83%に上がった。
2回目の模擬試験の結果に手ごたえを感じたので、本試験を予約。本試験までの約一週間はコース教本の要点だけを復習しつつ、インデックスを適宜修正。本試験の1日前は軽く小クイズを解いて、模擬試験で正答率の低かった分野を再度復習。
本試験は正答率82%で合格した。
トレーニング・コースの開始から試験合格まで大体3か月半かかった。
コースの感想とインデックスの作成方法
あくまで個人的な意見だが、GREMと比べるとかなり暗記の要素が強い内容だった。
- 何々を調べたいときは、どのログを見るべきか?
- 何々のログはどこに保存されているか?
- ログの保存期間はいつまでか?
こういったことに加え、Microsoft、Amazon、Google それぞれが独自の名前でサービスやツールを提供しているので、これらを覚えるだけでも一苦労。。。というか全て覚えるのは無理なので、合格するにはインデックスが肝となる。
先述の通り、教本が付箋だらけになり、インデックスとして機能しなかったので、本腰を入れてインデックスを作り直すことにした。(GREMの時は5冊目の教本に超使いづらいインデックスが用意されていたが、今回はそれも無かった)
こことかここを参考に、Google スプレッドシートを用いてインデックスを作成した。自分の作成したインデックスは以下の四つのカラムで構成されていた。
- 教本の番号
- ページ番号
- 各ページの見出し
- 各ページのキーワード (可読性を確保するため、重要なキーワードに限定)
また、ぱっと見でインデックスのどの当たりに、何の項目があるのか見つけやすいように、必要に応じて色つきの見出しを挿入した。以下は作成したインデックスの抜粋。
上記は1冊目の教本のインデックス。別タブに2~5冊目の教本のインデックスを用意した。
試験当日はこのインデックスを印刷して持参した。
インデックスを改良したおかげで、ずいぶん試験が楽になった。一応教本の付箋はそのままにしたが、ほとんど参考にしなかったうえ、ページを捲るのにすごく邪魔だった。
今後、GIAC試験を受ける場合は付箋は使わずにGoogle スプレッドシートでインデックスを作成しようと思う。
ラボについて
ラボについてだが、内容としては、Microsoft、Amazon、Google等のクラウドプロバイダーからエクスポート済のデータをSOF-ELKにインポートして調査するというのが殆どである。
クラウドプロバイダーのWebコンソールを利用したラボとか、awsやazといったコマンドラインを利用したラボは一切無いので (2025年9月時点)、そういうのを期待しているとがっかりすると思う。(自分がその一人)
試験当日
最寄りのPearson VUE対応のテスト・センターで受験した。事前に試験会場を下見していたので当日は迷うことなく到着できた。朝9時30分に予約しており、余裕をもって30分前に到着したのだが、15分後にもう一度来てくれと受付に言われた。待合スペースで待たせてくれとお願いしたが、頑なに15分後にまた来いと言われてしまったので、諦めて、しばらく外をブラブラしていた。
で、15分後に再度会場を訪れて、受験の手続きをした。Pearsonの規約通り、2種類の身分証 (パスポートとEmployment Pass)を持ってきたのだが、EPのみの確認で終わった。身分証の確認と受付用紙の記入が済むと、試験で使用する教本とインデックス (あと、念のため持ってきた英和辞書)以外の荷物は受付のロッカーに預けた。顔写真の撮影が済むと、すでに来場していた別の受験者とともに試験部屋へ案内された。
試験官が端末のセットを終え、いざ試験開始。FOR509は180分とそれなりに長丁場の試験だが、試験後半のCyberLive (VMを使ったハンズオンで、多分かなり配点が高い) に余裕をもって臨みたかったので、あまり一つの問題に時間をかけすぎないように注意しながら進めた。
9割がた答えに自信のある問題でも、なるべく教本と照らし合わせながら解答していった。試験開始から1時間半くらい経ったところで、9分ほど休憩を挟んだ。この時点で82問中55問近く解いていたと思う。
休憩後は一気にCyberLiveまで解いた。時間を意識した甲斐があり、1時間ほど残してCyberLiveに臨むことが出来た。CyberLiveに関しては、多分1問だけSOF-ELKのフィルターをミスって間違えてしまったが、それ以外の問題は正解できたと思う。VMの動作も概ね良好で、最後の1問だけ、スクロールの反応が悪くて一瞬焦ったが、フルスクリーンモードに切り替えることで解決した。
試験時間を20分ほど残して82問全て解答し、試験終了。
正答率82%で合格した。
