CompTIA PenTest+ 合格体験記
今回は、PenTest+というCompTIAの資格試験の受験をしたので、この試験の概要から勉強したことについてまとめていきます。
1. 試験概要
CompTIA PenTest+は、ペネトレーションテストの手法、脆弱性評価、また攻撃があった際のネットワークを回復するために必要となるスキルを評価します。効率的に作業を進めるためにフレームワークをカスタマイズし、結果を適切に報告すると共に、ITセキュリティ全般的な状態の改善を図るための戦略を提案できるスキルとベストプラクティスを育成します。 また、従来のデスクトップやサーバーに加えて、クラウドやモバイルなどの新しい環境でデバイスをテストするための実践的なスキルと知識も評価することが可能です。
CompTIA PenTest+で修得できるスキル
計画とスコープ
計画とコンプライアンスに基づくアセスメントの重要性を説明する
情報収集と脆弱性の識別
エクスプロイトに備え情報収集をし、脆弱性スキャンの実行と結果の分析を行う
攻撃とエクスプロイト
ネットワーク、ワイヤレス、アプリケーションとRFベースの脆弱性のエクスプロイトと物理セキュリティ攻撃を検討し、エクスプロイトを防ぐテクニックを実行する
ペネトレーションテストツール
さまざまなツールを使用して情報収集演習を実施し、出力と基本的なスクリプト(Bash、Python、Ruby、PowerShell)を分析する
報告とコミュニケーション
レポートの作成方法を活用し、発見された脆弱性に対する推奨される緩和策を説明するベストプラクティスを実行する
引用元: www.comptia.jp
2. 対策に使用した教材等
勉強期間は2ヶ月程度で、平均1時間程度のペースで勉強していました。
The Official CompTIA PenTest+ Study Guide
最新の出題範囲を網羅した日本語版コンテンツでしたが、途中で読むのが面倒になり、3割程度しか読んでいません。
CompTIA PenTest+ Web模擬試験
Web上でCompTIAの模擬試験が受験でき、受講料は6,800円かかりますが、とてもよい試験対策になりました。
TryHackMe CompTIA Pentest+
一部は無料でコンテンツを楽しめますが、もっとやりたいという思いがあり、サブスクリプションの購入をしました。 月額$10ですが、年間契約のものもあり、年間契約の方が少しお得だったため、年間契約をしました。 CompTIA Pentest+の範囲のコンテンツは一通り実施しました。
3. 結果と感想
結果は 合格 でした。
私の得点は787点で、合格点は750点です。
機械翻訳の影響なのか、主語が2つあって何を問われているのかわからなかったり、表現がおかしな問題文がややありましたが、概ね理解できました。
私はペネトレーションテストをやったことがないので、そういった人にはペネトレーションテストの全体的な流れ、どのように顧客とコミュニケーションをとるのか、ペネトレーションテストの流れの1つひとつで具体的にどのようなことを実施するのかを理解するのに役立つ資格だと思います。
4. 次に向けて
次はOSCP(Offensive Security Certified Professional)を受験する予定です。 TryHackMeやHack The Boxを通じて攻撃手法などを学んでいき、2022年の夏頃には受験して合格できるように精進(Try Harder)していきます。
Azure AZ-900 合格体験記
今回は、Azure AZ-900というMicrosoftの資格の受験をしたので、この資格の概要から勉強したことについてまとめていきます。
1.試験概要
簡潔に言うと、Cloud技術とAzureサービスの基礎知識が問われる資格試験です。
問題数: 40〜60
合格ボーダー: 700(1000点満点)
試験時間: 85分(ガイダンスを含めた時間で問題を解く時間は60分)
下記はMicrosoftのAZ-900の概要ページの引用です。
この試験の受験者は、クラウド サービスの基礎知識と、それらのサービスが Microsoft Azure でどのように提供されるかを理解している必要があります。 Azure Fundamentals 試験は、クラウドの概念、Azure のコア サービス、Azure の価格、SLA、ライフサイクル、およびクラウドのセキュリティ、プライバシー、コンプライアンス、信頼の基礎に関する知識を証明する機会です。 この試験は、クラウドベースのソリューションとサービスを使い始めた人を対象としています。受験者は、Azure のサービス、ワークロード、セキュリティ、プライバシー、価格、サポートだけでなく、クラウドの概念に関する基本的な知識を実証できる必要があります。また、ネットワーキング、ストレージ、コンピューティング、アプリケーション サポート、およびアプリケーション開発の概念についても理解している必要があります。
2.対策に使用した教材等
Microsoft公式の試験対策コンテンツ
docs.microsoft.com
- Azureのサービスを一通り理解するために下記のサイトを参考に azure.microsoft.com
3.結果と感想
結果
結果は、合格でした。
点数は、820でした。
感想
それほど難しくなかったです。試験範囲にもあるように、Cloudの概要とAzureのサービスの特徴を掴んでおけば合格はそれほど難しくないと思います。
Azureにどんなサービスがあるのかを結構学べたので、この試験を受けて良かったと思っています。
4.次へ向けて
次は、IPAの試験のAP(応用情報技術者試験)を今年の秋に受ける予定です。
COVID-19の影響で今年の春に受けようと思ってIPAの試験が中止になってしまったので、秋の試験は開催できるといいですね!
1ヶ月の留学 in トロント
2020年1月5日から2020年2月1日まで1ヶ月のトロント留学に行ってきました!
本記事では、1ヶ月の中でどんな事を体験したのかどんな事を学んで来たのかを伝えたいと思います。
本記事がこれからトロント留学やトロント以外の場所に留学に行く人、またトロントへ旅行に行こうと思ってる人、さらにトロントに移住やワーキングホリデーを考えている人の参考になれば幸いです。
なぜ留学にしたのか
- 就職してからは留学に行っている時間が確保できないからです。(仕事を一旦やめる等のケースは除きます)
- 卒業旅行で2,30万円使うなら、もう少し費用を払って留学兼卒業旅行みたいな感じで行きたいなと思ったからです。
- 2018年9月に2週間のセブ留学(2週間の短期留学 in Cebu - cedric-ryo's blog)に行っていて、そこで他国の人とコミュニケーションをとるのがとても楽しかったからです。
- 英語力を伸ばしたいからです。
- 色々な国の人とたくさんコミュニケーションをとりたかったからです。
- ホームステイを体験してみたかったからです。
なぜトロントにしたのか
- 治安が比較的に良いという評判だったからです。(1人で留学に行くので、治安の面はかなり敏感になっていました)
- アジア以外の地域に行ってみたかったからです。
- セブ留学でできた友人がトロントにワーキングホリデーに行くと行っていたので、そこでまた会おうと思ったからです。(なぜか連絡がとれなくて結局会えなかったです)
- トロントの語学学校の授業料が割引していたからです。
トロントで感じた日本との違い
- バスや電車で普通に犬などの動物が飼い主と一緒に乗ってます。
- 野菜は少々高いが果物が安いです。(バナナ8本が90円ぐらい(日本だと150円とか200円とかします))
- まとめ買いの水がめちゃくちゃ安いです。(500mlが24本で300円ぐらいです)
- 歩道にゴミ箱がちょくちょく置いてあるので、ポイ捨てがほとんどないです。
- スタバの飲料の値段が安いです。(Ventiサイズのブラックコーヒーが230円ぐらい(日本だと410円とかします))
- ジャンクフードが特に多いです。(カナダの人は手早く食べれるものを好むらしいです)
- 交通系マネーが交通系オンリーでしか使えないです。(PASMOやSuicaみたいにコンビニとかファミレスとかで使えないです)
- 満員電車で混んでいても無理に乗ろうとせずに次の電車を待ちます。(日本だとすし詰め状態が当たり前だと思います)
セブ留学とトロント留学との違い(主観)
| 項目 | セブ留学 | トロント留学 |
|---|---|---|
| 治安 | やや悪い(男女問わずに夜道を一人で歩くのは危険) | やや良い(特に何も気にする必要ないですが、危険と言われている地域もあります) |
| 費用 | 安い(1ヶ月で30万程度) | やや高い(1ヶ月で45万程度) |
| 授業 | マンツーマンの授業がほとんど | クラス制の授業がほとんど(10名前後) |
| 時差 | 日本より1時間遅い | 日本より14時間遅い |
| 食べ物 | 辛い食べ物が多いが比較的にバリエーションが豊富 | ジャンクフードが多い |
ホームステイ先
ホームステイ先はとても快適でした。
ホームステイ先によってはアタリ・ハズレの差が激しいらしいですが、自分の場合はアタリでした!
特に不自由する事はありませんでしたが、洗濯機などの使い方を聞く時に相手が話すのが早過ぎて3割ぐらいしか理解できていなかったです。
ホストマザーと5歳の女の子がいて、その5歳の女の子がめちゃくちゃ可愛くてその子と無限に遊んでいたかったです!
ホームステイ先から学校までは約40分で、ホームステイ先から最寄りの駅までは徒歩10分ぐらい、そこから電車で学校の最寄り駅までは20分〜25分、学校の最寄り駅から学校までは徒歩5分ぐらいでした。
基本的に朝は軽く果物を食べて、昼はスーパーで買ったパンにジャムを付けたりハムを挟んだりして食べいていて、夜はホストマザーが用意してくれたご飯を食べる感じでした。
最後にホームステイ先の5歳の女の子が手紙をくれた時には、感動して久しぶりに大号泣してしまいました笑
学校
学校はSGICという学校です。(St. George International College (SGIC)>カナダ留学スクールガイド=世界で最も詳しいカナダ学校データベース)
学校の中は多少狭かったですが、フォーターサーバーや電子レンジが揃っていて設備面は良かったです。
それと学校の周りには飲食店やファーストフード店やコンビニが充実していますが、少々値段は高いですね。
生徒の国籍はブラジル、スペイン、韓国、日本など色々な国籍の人がいました。
授業は、9時から14時45分までで1時間10分授業の後に10分休憩といった感じで、お昼休憩は45分です。
授業の仕方は、グループ制(10人ぐらい)で教科書の内容に応じて先生1人がレクチャーしてその後に生徒同士でその文法などを使用し会話をする感じでした。
基本的に母国語禁止で、先生に母国語を使ってるところを見られたらペナルティーがあるところです。
観光
観光は主に土日にしました。
- トロントには、「チャイナタウン」「コリアタウン」というように所々に中国や韓国の小さな町があり、そこは英語と韓国語の混ざった看板などが多くありました。自分はコリアタウンに行って、コリアタウンには韓国料理や韓国の物が売っているスーパーなどがあり、韓国の物が買いたかったらここに行けばある程度の物は買えると思います。
- CNタワーにも行きました。CNタワーはトロントの象徴とも言えるタワーで、高さは553.33mもあり、自分は高さ346mのところまで行きました。もう少しお金を払えばもっと高いところまで行けます! 
最後に
- 英語という共通の言語を使い、異なる文化や習慣を学べるのは本当に楽しいです。
- 短期留学は英語力の向上を主目的とするより、きっかけ作りとする方良いと思いました。(1ヶ月や数週間の英語力の向上はたかがしれていると思います)
- やはり社会人になってからの留学は難しいので、学生のうちにしか体験できないものの一つだと感じました。
- これから留学を考えている人は、中学英文法・単語、リスニング力は最低限備えてから留学に行った方が色々な面で苦労しないです。
- 英語はツールなので、やはり何よりも失敗を恐れない気持ちが大事です。
- これから留学へ行く人は、何よりも「出会い」を大切にして欲しいです。
セキュリティキャンプ2019に参加しました
セキュリティキャンプ2019 Bトラック参加
私はセキュリティキャンプ2019に参加し、そこで得られたことなどをこの記事にまとめていきます。
具体的な内容はオフレコなものもあるので、ざっくりとした内容を書きます。
*引用してある資料や記事は既にインターネットに存在しているものです。
クラウド時代における大規模分散Webシステムの信頼性制御
この講義では、Webシステムの信頼性を効果的に制御するために、高い信頼性をもつ大規模なWebシステムをいかに構築し運用するのかを実際に講義とハッカソンという形で進んでいきました。 午前の講義は坪内 佑樹(ゆううき、@yuuk1t)さんの講義でした。 Webシステムの信頼性制御の背景やそのアーキテクチャの話やスケーリングのケーススタディを学びました。 Webサーバーの並列処理モデルやマルチプロセスモデル、RDBMSのTCPのアーキテクチャやDB接続の永続化のモデルについても学びました。 何よりこの講義では「なぜ」そのアーキテクチャなのかを重視してお話していたので、自分の中でもアーキテクチャに関して興味が湧きました。 午後のハッカソンでは、4人のチームで高信頼のシステムを開発するというものを行いました。 事前に講師の方(仲山 昌宏さん(@nekoruri))が雛形を準備してくれていて、それに改良を加えていくというものでした。 自分自身ハッカソンに参加した経験がないので、良い経験となりました。
クラウド・ホスティングサービスのセキュリティと運用技術の研究
この講義は松本 亮介さん(まつもとりー @matsumotory)の講義で、基盤技術における、セキュリティや性能、運用技術に関する最新動向と最新の研究の取り組みについてお話をしていただきました。 講義内容としては、おおまかにWebサーバーのセキュリティと運用技術の背景、WebサーバーとWebホスティングシステムの基礎知識、セキュリティとリソース分離、セキュリティと性能、セキュリティと運用技術、大規模WebサーバーのTLS証明書管理、データセンターとコンテナの未来にわかれて講義が進んでいきました。 講義の資料は400枚以上あり、午前中で終わる量ではなかったので、松本さんはその中で特に重要だと思われる部分を受講者に伝えてくれました。 この講義で、セキュリティ対策は高レイヤーも重要ですが、抜本的な対策は低レイヤーでしなければ解決できないという事を知り、幅広いレイヤーの技術と知識がエンジニアには必要不可欠と感じました。 私が松本さんの講義で特に印象に残ったものは、松本さんが開発した「mod_mruby」というApacheモジュールをRubyで効率良く実装するためのApacheモジュールです。 mod_mrubyの主な機能は、リソース消費量を低減し高速に動作し柔軟に内部処理拡張するためのAPIを設計できます。(詳細は下記の記事に記載があります) employment.en-japan.com
体系的に学ぶモダン Web セキュリティ
この講義は米内 貴志さん(@lmt_swallow、@y0n3uchy)の講義で、Webにおける境界線の必要性、ブラウザのセキュリティ機構に必要性(SOP,CORSなど)、ブラウザのセキュリティ機構で実現可能な事、Webの脆弱性を突いた攻撃で実際にどのような事が可能になってしまうかなどなどアプリケーションに関する事だけでなく、ブラウザのセキュリティも体系的に学べました。 米内さんの講義が最初の1時間程度で、その後は全て手と頭を動かす演習でした。 演習の時間が多かったため、概念だけで理解していたものを手と頭を動かして体系的に学べました。 途中途中で米内さんやチューターの方に助けてもらいながら学べ、演習を解き切るところまではいけませんでしたが、このような演習で体系的に学ぶことは技術や知識の定着率がとても高いと感じたので、自分でも積極的に手と頭を動かす学びと取り入れていきます。 下記が米内さんが公開されて講義資料です。 speakerdeck.com
つくって学ぶ、インターネットのアーキテクチャと運用
この講義は木村 泰司さんの講義で、インターネットの仕組みとその考え方について、手を動かしながら学ぶことができました。 講義内容としては、世界中のネットワークが具体的にどのようにして繋がっているのか、DNSの仕組みや名前解決がどのように行われるのか、BGPの運用の仕方やそもそもなぜBGPを使用するのかという講義内容の後に、PC上で仮想ネットワークを構築し、BGPの設定を行って実際にBGPの通信を確認するという事もしました。 木村さんの講義では、半分が講義でもう半分が演習という形でしたが、演習ではルーターの設定だけでなく、エンドポイントコンピューターの設定なども含まれているので、頻繁に設定がうまくいかないなどのトラブルが発生しました。演習ではDNSに関する事なども行う予定でしたが、トラブルが多発していたため、BGPの体験しかできませんでした。 ですが、BGPの概念だけ理解していた自分にとっては手を動かして体系的に学べたという事で、BGPについてさらに理解度が深まりました。 この講義でも実際に手と頭を動かして、体系的に学ぶ事の大切さを改めて実感することができました。
ユーザー企業における情報システムとセキュリティ
この講義は鈴木 研吾さん(@ken5scal)の講義で、ゼロトラストネットワークという概念や法令やセキュリティの指針・実装など幅広いセキュリティを学べました。 講義内容としては、証券会社をケーススタディとしてシステムやオフィスにどのようなセキュリティ上の問題があるのかという事をペアで話あってそれを講師の方と受講者で共有しあうものと、ユーザー企業では具体的にどのようなセキュリティ対策を行っているのかを講義で学びました。 ペアでの話合いと各ペア毎の共有では自分では考えてもいなかったセキュリティ対策があり、一人だけではセキュリティ対策は限界があると感じました。 この講義でセキュリティ対策は専任の担当者1人だけで行うのではなく、チームビルディングをしてチームとしてセキュリティ対策をやっていかないと網羅率が下がってしまうという事も感じました。 技術的なセキュリティだけではなく、法令や基準をしっかりと把握しておかないといけないと思い、技術的な事以外も勉強しようと思えました。
セキュリティキャンプを通じて
自分はセキュリティキャンプを通じて上記に記載した事だけでなく、いい意味での「危機感」を感じました。 上記の危機感は、自分はこれだけ低い位置にいるのだからもっと自己研鑽をするようにしないとついていけないという危機感です。 学内や職場だけでなく、セキュリティキャンプのような全国から技術力の高い人間が集まっている環境に行くことによって、ハングリー精神が磨かれ、自分の成長にも繋がります。 今回セキュリティキャンプに参加できて本当に良かったです。 このセキュリティキャンプで得た技術や知識やマインドセットを今後も忘れないように積極的にアウトプットをしていきたいと思います。 セキュリティキャンプの関係者の皆さん、本当にありがとうございました。
おまけ
↓ラストナイトイベントでもらった書籍
CCNA ICND2合格体験記
今回はCiscoの資格のCCNA ICND2に挑戦してきました! 各技術の概念を理解するのと、範囲を網羅するのに苦労しました。
1.試験結果
合格でした!
合格ラインが811点で取得点数が854点だったので、あまり余裕はなかったです。
2.勉強に使用したツール
ping-t、白本教科書、黒本問題集、赤本問題集、クラムメディアの問題集
3.勉強方法
ping-tを2か月かけて銀6割程度と金4割程度にしました。
また上記と同時並行で白本教科書を読み、概念の理解に努めました。
試験の2週間前からはひたすら模擬問題を解き、試験の形式に慣れるようにしました。模擬問題を多く解いたおかげでシミュレーション問題がスムーズに解けました。
また、ICND2はかなり範囲が広く、網羅性が重要視されるので、技術の概念理解にかなり時間を費やしました。ですが、概念さえ理解できればかなりスムーズに問題が解けます。
4.次の目標
情報処理安全確保支援士の午前1免除を目的に、応用情報技術者試験の取得を目指します!
2018年の振り返り&&来年について
2018年の振り返り
1月
簡易掲示板作り
Webセキュリティの勉強
2月
簡易掲示板作り
Webセキュリティの勉強
Pwn入門したが挫折
3月
LPIC101の勉強
クラウドマネージドサービスを提供する企業でアルバイト開始
ネットワークに興味を持ち始める
4月
LPIC101の勉強
インフラ系のゼミに入る
Cisco機器のSwitchでVlanきったり、Routerで色々なRoutingプロトコルに触れる
5月
セキュリティミニキャンプ兵庫に参加
LPIC101合格
LPIC102の勉強
セブ留学へ行こうと決意する
6月
LPIC102合格
CCENTの勉強
7月
CCENTの勉強
ネットワーク系の企業でアルバイト開始
技能五輪(インフラシステム構築)の対策
神奈川県専門学校卓球大会で3連覇ならず、準優勝
8月
技能五輪で金沢へ
CCENT対策講座の参加
ICTSC 1次予選
ソフトバンクテクノロジーのインターンシップ参加
9月
CCENT合格
セブ留学
セキュリティミニキャンプ山梨に参加
10月
就活
11月
就活
Security+の勉強
CODE BLUEの学生スタッフ参加
12月
Security+合格
CCNA勉強
ICTSC 2次予選
英文法の勉強開始
全国専門学校卓球大会で初戦敗退
約9年間続けた卓球をやめる
来年について
来年は、技術、英語、資格の三本柱で自分を高めていきます!
技術の目標は、ICTSC本戦出場・ハニーポットのログ可視化・今年買った技術書を読破・CTF大会入賞
英語の目標は、TOEIC650点(来年の1月にTOEIC初受験)・英文法書読破
資格の目標は、CCNA、AP、FP3級
この他にも再来年からの1人暮らしのために50万の貯金を目標に頑張ります!
