ネット上でよく議論される話題である CEH vs OSCP に関して、10年以上セキュリティのトレーナーとして活躍し、CEH, OSCP, ISO 27001主任監査員でもあるGabriel Avramescuの記事を参考にまとめる。
CEH
CEHはより理論的な部分を重要視しており、セキュリティの知識が少ない人のために作られた研修、資格になっている。
ハンズオンもあるが、範囲は限られている。
コースは以下の20のモジュールがあり、Web、モバイル、クラウドへのアタックから対策まで扱うが、内容としては概要レベルになる。
脆弱性解析やIoTハッキングなども新しい話題のもの取り入れている。
これは、2,3年にモジュールの変更が行われ、最新のセキュリティについても学べるようになっているようだ。
全体として、幅広い範囲のセキュリティの基礎知識をつけられるようになっているが、実際にアタックができるレベルまでは踏み込まないものになっている。
OCSP
一方、OSCPは、より自己学習が求められる資格である。
教育のために提供されるものは、特定の攻撃を説明するビデオとPDF、ラボネットが提供され、かなり技術的な部分にフォーカスしている。
CEHとは異なり攻撃の種類や概要よりも実践的なツールを使った攻撃方法や実際にアタックする方法を学ぶことができる。
また、提供されるビデオとPDFはほんの始まりでしかなく、VPNで接続するラボネットワークで提供されている50以上のサーバーをハッキングしていくことで能力を身につけていく必要がある。
Gabriel Avramescuさんの意見では、CEH → ECSA (日本ではまだ提供されていない) → OSCP の順に取ることをオススメしている。
また、より早く進めたい人は CEH → OSCP の順でも良い。
セキュリティに関する基礎的な知識がない人にとってはCEHでセキュリティの概要を理解する、ということはとても効果的な方法のように思える。
また、OSCPは自学が求められるため、ある程度自分の力で進められるだけの能力がない段階での受講はオススメできない。
費用面で比較すると
・CEH : 498,000円 (5日間の座学研修、テキスト、受験料込み)
・OSCP : 800ドル(30日のラボネット使用料+テキスト+試験料) ~ 1,150ドル(90日のラボネット使用料+テキスト+試験料) (約12万)
OSCPは現地での研修がないため、かなり安くなっている。
また、初めての人は90日のラボネットがオススメのようだ。
2019年のGlobal Knowledge TrainingによるIT関連資格と年収のランキングではCEHが11位にランクインしている。
15 Top-Paying IT Certifications for 2019 | Global Knowledge
(ちなみに、1位はGoogleのプロフェッショナルクラウドアーキテクト)
(更新) 2020年のランキングではCEHはランク外になっている。
15 Top-Paying IT Certifications for 2020 | Global Knowledge
2年連続でGoogleのプロフェッショナルクラウドアーキテクトが1位となっている。
2019年と 2020年を比較するとCISM, CRISC, CISSPのようなセキュリティのマネジメント系の資格がより求められているように感じられる。
GIAC
CEHやOSCPでは以上のような比較になるが、セキュリティテスト、ペンテストの資格ではSANSのGIACがある。
GIACはペンテストの資格だけでなく、インシデントレスポンス、マルウェア解析などセキュリティの幅広い資格が基礎的なレベルのものからハイレベルのものまで多くある。
https://www.sans.org/media/security-training/roadmap.pdf
しかし、日本で開催されている講座は限られている。
また、価格も710,000円 ~ 760,000円ほどするため個人で受けることは難しい。
CEH, OSCP, SANS GIAC それぞれメリット・デメリットがあるため、そこを理解して自分にあったものを選ぶ必要がある。
CEHに関してはアマゾンで英語の参考書を買うことができるのでそちらで内容の確認ができるのでどれを受けるべきかの検討材料として利用することができる。
CEH Certified Ethical Hacker Exam Guide (All-In-One)
参考
CISSPの日本語の公式ガイドブックもあるのでハッカーの資格ではなくマネジメントよりに進みたい人はこちらが参考になる。
価格が 24,200円とかなり高いが、日本語でかつページ数も2552ページほどあるようなので英語が苦手な方にはかなり役に立つものだと思う。
個人で資格ではなく教育を受けるのであれば、Udemyもおすすめである。
Gabriel AvramescuもUdemyも講師としていくつか講座を提供している。
Mobile Penetration Testing of Android Applications
Learn Server Security With BitNinja
英語で勉強するならこちらもおすすめです。
英語のオライリー本読み放題サブスクO’Reilly online learningを使ってみたらとても良かった - Security Index
Twitter アカウント