CompTIA Pentest+ 受験記

資格

 久しぶりにセキュリティ関連メモ以外の投稿ですが、先日、CompTIA主催のPentest+試験に合格したので、記録として投稿します。

受験の背景

以前にCISSP受験の記事を書きました。CISSP自体も難易度の高い試験だったので、合格して当分の間は満足していました。そのため、受験記は書いていないのですが、「AWSソリューションアーキテクトアソシエイト」「IoTシステム技術検定試験中級」「ディープラーニングG検定」などクラウドやIoT、AIなどの分野をカバーする方向で勉強していました。

0zte9.hatenablog.com

そうした中で、(CISSPはマネージャ向けの試験であるという特性から考えれば当たり前のことですが)テクニカルな部分で自分が深く理解していない部分がたくさんあると痛感することが最近多くありました。

そういったこともあり、もう少しテクニカル寄りの試験でも受けようかと思ったのが受験のきっかけです。CEH(Certified Ethecal Hacker)試験でもよかったのですが、受験費用が少し割高だったので、割安でほぼ試験内容が同じだった(ように見える)Pentest+を選択しました。一応公式サイトを載せますが、こちらです。

※テクニカルっぽいベンダ試験はどれか?というのを調べるのにSecurity Certification Progression Chart 2020 : cybersecurity を参考にしました。

CISSPをとったことにより、ある程度の知識を得たことでもっと深い領域があるということに気づいたのだと思うので、CISSPが無駄だったとはまったく思っていません。

勉強に用いた書籍

結論から言えば以下の2冊です。日本語の公式テキストもありますが、高かったのと過去受験者のブログを見て、以下でも十分合格できると判断したためです。Practice Testsのほうは問題集だったので、おそらく分厚い本を持ち歩くと思うと億劫で勉強しないと思ったので、電子書籍で購入しました。私は電車の移動中に5~10問だけ解くという形で勉強することが多いので、今回もその方式でスキマ時間で勉強しました。おそらくトータルで15~20時間くらい勉強したと思います。

Cetification Exam Guideは1頁目から読んでいくと漫然と読んでしまうので、とりあえずPractice Testsについている模試問題を解いて、自分がよく分かっていない分野を把握したうえで読んだほうが効率よいと思います。自分はiPhoneAndroidでのモバイル開発はしたことがなかったので、Mobile Device and Application Testingの章は通読しました。 あとはSoWとかMSAが用語として出てくるPre-engagement Activitiesも一応読みましたが、社会人をある程度やっていれば、そこまで特別なわけではなく一般的な段取りではないかなと思いました(試験対策用として丸暗記する必要がない)。

CompTIA PenTest+ Certification Exam Guide (Exam PT0-001) (All-in-one)

CompTIA PenTest+ Certification Exam Guide (Exam PT0-001) (All-in-one)

  • 作者:Nutting, Ray
  • 発売日: 2018/12/05
  • メディア: ペーパーバック
 
CompTIA PenTest+ Practice Tests: Exam PT0-001

CompTIA PenTest+ Practice Tests: Exam PT0-001

 

 受験の申し込みから試験まで

試験の申し込みはCompTIAで試験用のバウチャーを購入して、Pearsonでバウチャーコードを入力して申し込みを行います。あとは当日を待つのみです。実は今はコロナ渦なので自宅受験もできるみたいな話は聞きましたが、慣れてる現地試験にしました。Pearson系試験は受験当日に2個の本人証明書が必要なのでご注意を(自分はいつも運転免許証とパスポートにしています)。

試験はパソコン上で行います。試験時間は215分とかなり(?)余裕があります。75問で215分だったので、1問につき3分程度かけることができるので、焦ることはないと思います。

試験の最初のほうに選択式じゃないタイプの実践的な試験問題が出てきます。おそらく採点に使われない新試験検証用だと思いますが、この形式のほうが個人的におもしろいのになと思いながら解いてました。

試験結果はギリギリのスコア768でした。750/900で合格なので、あと1~2問間違えていたら落ちていたと思います。実はこの試験は80%がボーダーで一般的なベンダ試験よりボーダーが高いと思います。

試験を終えて

当初の目的のテクニカルな能力を得られたかというと多少は得られたとは思います。この試験はSQLインジェクションのコードやプログラムを読んで回答するといった問題もあるので、そういった意味では単なる用語問題よりは実践的です。また、Linuxのコマンドだったり、開発やネットワーク関連、物理セキュリティなど幅広く要求されることから実は試験範囲も広い試験だったのではと思います。

しかし、試験形式が選択式である以上は消去法などテクニックである程度できてしまうのも実情です。ということで(実は元々これを狙っていたのですが、いきなりは難しいだろうと思っていた)超実践型ペンテストを要求されると言われるOSCP試験の受験を次は予定しています。