Security Index

セキュリティやソフトウェアについてのあれこれ

トップ > 資格 > 倫理的ハッカー資格 CEH vs OSCP どっちを受けるべきか

倫理的ハッカー資格 CEH vs OSCP どっちを受けるべきか

資格 教育

ネット上でよく議論される話題である CEH vs OSCP に関して、10年以上セキュリティのトレーナーとして活躍し、CEH, OSCP, ISO 27001主任監査員でもあるGabriel Avramescuの記事を参考にまとめる。

 

f:id:security_index:20190901114229p:plain

 

 

CEH

 

CEHはより理論的な部分を重要視しており、セキュリティの知識が少ない人のために作られた研修、資格になっている。

ハンズオンもあるが、範囲は限られている。

 

コースは以下の20のモジュールがあり、Web、モバイル、クラウドへのアタックから対策まで扱うが、内容としては概要レベルになる。

 

脆弱性解析やIoTハッキングなども新しい話題のもの取り入れている。

これは、2,3年にモジュールの変更が行われ、最新のセキュリティについても学べるようになっているようだ。

 

f:id:security_index:20190901114824p:plain

 

全体として、幅広い範囲のセキュリティの基礎知識をつけられるようになっているが、実際にアタックができるレベルまでは踏み込まないものになっている。

 

OCSP 

 

一方、OSCPは、より自己学習が求められる資格である。

 

教育のために提供されるものは、特定の攻撃を説明するビデオとPDF、ラボネットが提供され、かなり技術的な部分にフォーカスしている。

CEHとは異なり攻撃の種類や概要よりも実践的なツールを使った攻撃方法や実際にアタックする方法を学ぶことができる。

 

f:id:security_index:20190901171657p:plain

 

また、提供されるビデオとPDFはほんの始まりでしかなく、VPNで接続するラボネットワークで提供されている50以上のサーバーをハッキングしていくことで能力を身につけていく必要がある。

 

 

Gabriel Avramescuさんの意見では、CEH → ECSA (日本ではまだ提供されていない) →  OSCP の順に取ることをオススメしている。

 

また、より早く進めたい人は CEH → OSCP の順でも良い。

 

セキュリティに関する基礎的な知識がない人にとってはCEHでセキュリティの概要を理解する、ということはとても効果的な方法のように思える。

 

また、OSCPは自学が求められるため、ある程度自分の力で進められるだけの能力がない段階での受講はオススメできない。

 

費用面で比較すると

・CEH : 498,000円 (5日間の座学研修、テキスト、受験料込み)

・OSCP : 800ドル(30日のラボネット使用料+テキスト+試験料) ~ 1,150ドル(90日のラボネット使用料+テキスト+試験料) (約12万)

 

 OSCPは現地での研修がないため、かなり安くなっている。

また、初めての人は90日のラボネットがオススメのようだ。

 

2019年のGlobal Knowledge TrainingによるIT関連資格と年収のランキングではCEHが11位にランクインしている。

 

f:id:security_index:20190901143954p:plain

15 Top-Paying IT Certifications for 2019 | Global Knowledge

 

(ちなみに、1位はGoogleのプロフェッショナルクラウドアーキテクト)

 

(更新) 2020年のランキングではCEHはランク外になっている。

f:id:security_index:20200530095826p:plain

 

15 Top-Paying IT Certifications for 2020 | Global Knowledge

 

2年連続でGoogleのプロフェッショナルクラウドアーキテクトが1位となっている。

 2019年と 2020年を比較するとCISM, CRISC, CISSPのようなセキュリティのマネジメント系の資格がより求められているように感じられる。

 

GIAC 

 

CEHやOSCPでは以上のような比較になるが、セキュリティテスト、ペンテストの資格ではSANSのGIACがある。

 

GIACはペンテストの資格だけでなく、インシデントレスポンス、マルウェア解析などセキュリティの幅広い資格が基礎的なレベルのものからハイレベルのものまで多くある。

 

f:id:security_index:20200530101217p:plain

https://www.sans.org/media/security-training/roadmap.pdf

 

しかし、日本で開催されている講座は限られている。

また、価格も710,000円 ~ 760,000円ほどするため個人で受けることは難しい。

 

f:id:security_index:20200530101736p:plain

年間開催スケジュール

 

CEH, OSCP, SANS GIAC それぞれメリット・デメリットがあるため、そこを理解して自分にあったものを選ぶ必要がある。

 

CEHに関してはアマゾンで英語の参考書を買うことができるのでそちらで内容の確認ができるのでどれを受けるべきかの検討材料として利用することができる。

 

CEH Certified Ethical Hacker Exam Guide (All-In-One)

 

参考

CISSPの日本語の公式ガイドブックもあるのでハッカーの資格ではなくマネジメントよりに進みたい人はこちらが参考になる。

 

新版 CISSP CBK 公式ガイド 

価格が 24,200円とかなり高いが、日本語でかつページ数も2552ページほどあるようなので英語が苦手な方にはかなり役に立つものだと思う。

 

個人で資格ではなく教育を受けるのであれば、Udemyもおすすめである。

 

Gabriel AvramescuもUdemyも講師としていくつか講座を提供している。

 

Mobile Penetration Testing of Android Applications

Learn Server Security With BitNinja

 

英語で勉強するならこちらもおすすめです。

英語のオライリー本読み放題サブスクO’Reilly online learningを使ってみたらとても良かった - Security Index

 

 

 

 

Twitter アカウント

Security Index (@security_index) | Twitter