以前の記事では、ペネトレーション・テスターの資格について考察しましたが、今回はフォレンジックやインシデント・レスポンスの資格について考察してみたいと思います。(昔はフォレンジックをかなり専門的にやっていたのですが、最近はまったく携わっていないので嘘を書いていたらすいません。)
フォレンジックや、インシデント・レスポンスの資格で、米国で色々話を聞く限り、有名な資格は以下の3種類になります。
- GIAC:Global Information Assurance Certification
- CCE:Certified Computer Examiner
- ベンダー資格
GIAC:Global Information Assurance Certification
GIACはSANSが提供している資格で、2016年時点で以下のような資格が提供されています。
- GCFE:GIAC Certified Forensic Examiner
- GCFA:GIAC Certified Forensic Analyst
- GNFA:GIAC Network Forensic Analyst
- GASF:GIAC Advanced Smartphone Forensics
- GREM:GIAC Reverse Engineering Malware
- GCIH:GIAC Certified Incident Handler
GIACのメリットとしては、各分野の専門性を追求した資格という点です。フォレンジックといっても色々な技術がありますが、これらの資格をもつことで自分がどの分野を得意としているか示すことができるのが利点だと思います。
また、GIACのテストの特徴として、シナリオベースの試験という特徴があります。勝手な推測ですが、技術・ツールは常に変わるので根底となる考え方を徹底的に図るという意図があるのだと思います。
欠点としては、やはり受験料・更新料が高いところだと思います。
CCE:Certified Computer Examiner
CCE(Certified Computer Examiner)という資格を聞いたことがあるという人はあまり多くないと思います。日本でCCEホルダーがいるか定かではありませんが、米国では比較的有名な資格です。ISFCE(The International Society of Forensic Computer Examiners)という団体が2003年から提供している資格で、歴史ある資格です。
米国でCCEホルダーが多いのは、SANSが普及する前からかなり実践的な試験を提供していたからだと思われます。筆記試験と実技の両方を行っている資格で、受験プロセスの中でフォレンジックの技術を証明する必要があります。但し、私が知る限り、この資格を持っているのは長年セキュリティの世界に携わっており、現時点で上のポジションについている人が多いと思われます。(逆に言うと、最近セキュリティのキャリアをはじめた人はGIACに流れているような気がします。)
現時点でとるべきかといわれると答えるのが難しいですが、興味があれば検討してもよい資格だと考えています。
ベンダー資格
その他圧倒的に多いのがベンダー資格と呼ばれるものだと思います。EnCE(EnCase® Certified Examiner)やACE(AccessData Certified Examiner)などの統合分析ツールに依存した資格があげられます。ある意味、専門的にやる人は統合分析ツールを使ってやることが多いので妥当だと思います。
その他の資格
その他の資格とすると、以下のものがあげられると思います。
- CSX:Cyber Security Nexus(ISACA)
- CCFP:Certified Cyber Forensics Professional(ISC2)
- CHFI:Computer Hacking Forensic Investigator(EC Council)
CHFIは持っている人はたまに見ますが、ほかの資格については知られてはいるもののあまり取っている人は見たことがないのが実情です。個人的には、ブランディングが弱い、もしくは既存の資格の後追いという点が強く、あまり積極的にとる特徴が見当たらないという印象を受けます。ただ、CSXなどはLabによる実技もあるらしいので、もしかしたら差別化がなされるかもしれません。今後の動向を見守りたいと思います。
まとめ
今回のエントリーでは、フォレンジックやIRに関する資格について考察をしてみました。皆様の参考になればい幸いです。
