CompTIA Security+ SY0-601 に合格した話

先週末に Comptia Security + を受験しました。 Security+は現在 SY0-501 と 2020年11月に提供開始された SY0-601 という新試験が並行で提供されているのですが、SY0-601 の受験に関する情報がインターネットで検索しても見つからなかったため、参考になればと思い試験の概要や準備方法などをまとめてみました。

Comptia Security+ とは?

CompTIA の試験の特徴はベンダーニュートラルな視点で受験者のスキルを測定する試験と言えると思います。これは私が勝手に思っていることではなく主催者がそのコンセプトを打ち出しています。

https://www.comptia.jp/cert_about/certabout/

試験のラインナップも複数用意されています。 今回私が受験した Security+ は Core カテゴリに属する認定となります。

Security+ の内容は公式ホームページで以下の通り説明されています。

CompTIA Security+は、ベンダーニュートラルの認定資格です。Security+認定は、業務を遂行する上で必須となるエントリーレベルのセキュリティスキルおよび知識を判断する、国際的に認められた認定試験で、世界中の企業およびセキュリティプロフェッショナルに活用されています。

CompTIA Security+認定資格試験に合格することで、アプリケーション、ネットワーク、デバイスのセキュリティを確保するために必要なシステムのインストールと設定、プラットフォームへの脅威を分析して適切な手法で緩和する対応、関連するポリシーや法規制を正しく認識した運用を行うために必要な知識とスキルを証明します。また、これらのタスクを、機密性、完全性、可用性の三大要件を維持し実行が可能なスキルを証明します。

受験者の条件は以下の通り説明されています。 条件とは言いましたが、試験を受験するための厳密な条件ということではなく、受験者像となります。 条件を満たすかどうかの事前の審査は特にありません。

  • セキュリティに重点を置いたネットワーク管理における最低2年間の業務経験
  • 情報セキュリティのテクニカルな側面を日常的に扱う経験
  • 出題範囲に挙げられた項目を含む、セキュリティ上の問題や実装に関する幅広い知識

すごくざっくりといえば、情報セキュリティに直接的にも間接的にも関わる立場の人向けの入門的な位置づけとなると言えます。 セキュリティに重点を置いたネットワーク管理の2年間の業務経験と記載もありますが、最低限知っておくべきことを試されるテストといえます。 セキュリティ上の問題や実装に関する幅広い知識、これもその通りでセキュリティに関する原則、理論から実際の現場で行われる特定ツールの操作に関する問題、法律的な知識など実際の試験でも幅広い内容が問われます。 これは実際に試験を受けての感覚ともマッチします。

SY0-501 と SY0-601 の違い

2021年3月27日現在、Security+ は2つの試験、SY0-501 と SY0-601、が提供されています。どちらか1つに合格すれば Security+ の認定を取得可能です。 

SY0-501 は 2021年7月31日に提供が終了する予定となっています。新試験の SY0-601 も並行して受験可能な状態となっていますが、SY0-601 は私が受験したときは英語のみの対応となっていたので、日本語で受けたい場合は今年の7月31日までに SY0-501 を受験することになると思います(ホームページ上は SY0-601 も日本語に対応はしているようではあります)。

SY0-501 と SY0-601 の違いは英語となりますが本家のホームページに比較表が紹介されています。

ポイントをまとめると以下。 

  • 異なる点
    • 言語について SY0-501 は英語、ポルトガル語、中国語、日本語。 SY0-601 は英語と日本語(私が受験申し込みしたときは 英語しか選べなかったのですがもしかすると対応したのかもしれません)
    • SY0-601 は最近のIT状況(IoTやモバイル、クラウドなどのハイブリッド環境)とエンタープライズ環境でのセキュリティというの2点の追加が言及されています
    • シラバスで確認する限り、出題範囲も結構異なります(後述)
  • 違いがない点
    • 出題数は90問
    • 試験時間は90分
    • 合格点は750点以上 (スコアは 100-900)

両方受けていれば違いについて具体的に説明できそうですが、 SY0-601 しか受けていないためはっきりしたことはわかりません。 ただ、2017年に提供開始された SY0-501 に対して 2020年11月に提供開始された SY0-601 は直近のIT状況を反映しているわけで特段の理由がなければ SY0-601 を受験するでよいと思います。

Security+ の試験の内容

具体的な試験の内容は規約により書くことは出来ませんが、公開されているシラバスから自分なりの考えを書いてみます。 

シラバスは日本の公式ホームページで公開されています。 ただし、2021年3月27日現在、SY0-501 のシラバスしかダウンロードできません。

SY0-601 のシラバスは本家のホームページからダウンロード可能です。 日本のページと異なり、氏名やメールアドレスなどフォームに所定の情報を入力後にダウンロード可能です。

https://www.comptia.org/certifications/security

出題範囲ですが、SY0-501 と SY0-601 で以下の通り異なります。

SY0-501

SY0-601

上記の DOMAIN の視点では項目から結構違います。 ただ、SY0-601 を受験した経験からは、SY0-601でもSY0-501の範囲も満遍なく出題されていました。

また、シラバスでは各 DOMAIN ごとに出題される内容が具体的に記載されています。 

以下は SY0-601 の DOMAIN 1.0 Threats,Attakcs, and Vulnerabilities のページのスクリーンショットです。 ここに書いてある用語について知らないものがあれば事前に勉強するのがよいと思います。 まあ、DOMAIN 1.0 は一般的な攻撃手法やマルウェアの話なので普段セキュリティに関する業務にあたっていればほとんどが既知の内容になると思います。

なお、シラバス自体は 20ページを超えるボリュームです。 DOMAIN 1.0 も上記の 1.1 と 1.2 だけではなく 1.8 まで続きます。 全部を紹介するよりはまずはシラバスに目を通し、先に書いたとおり、自分が知らない用語、概念があれば確認することになります。 (シラバスをダウンロードする前にフォーム申請もしているのでそのまま転記するのもよくないでしょうし)

とは言いつつ、20ページ超の英語のシラバスを読みましょう、だけだとブログに書く意味もないので、各DOMAINごとにポイントをまとめてみます。

DOMAIN 1.1 Compare and contrast different types of social engineering techniques.

ソーシャルエンジニアリングの類の攻撃手法についてです。 シラバス記載の用語に不明なものがあれば確認しましょう。 概要レベルの把握で問題ありません。

DOMAIN 1.2 Given a scenario, analyze potential indicators to determine the type of attack.

マルウェアやパスワードに関する攻撃、物理的な攻撃など。こちらもシラバスの用語の確認です。

DOMAIN 1.3 Given a scenario, analyze potential indicators associated with application attacks.

アプリケーションへの攻撃について、XSS や SQL / DLL インジェクションなど。こちらもシラバスの用語の確認です。

DOMAIN 1.4 Given a scenario, analyze potential indicators associated with network attacks.

ネットワークに関する攻撃、PCよりもモバイルが一般化した中での Wifi に関する攻撃や従来のL2/L3 Network ,DNS、DDoS での攻撃など。こちらもシラバスの用語の確認です。

DOMAIN 1.5 Explain different threat actors, vectors, and intelligence sources.

攻撃者の分類、攻撃の経路、攻撃者と防御する側の情報ソースなど。こちらもシラバスの用語の確認です。

DOMAIN 1.6 Explain the security concerns associated with various types of vulnerabilities.

脆弱性の分類について、クラウドとオンプレミス、ゼロデイ攻撃、アプリではなく構成面での脆弱性などテクニカルな話だけではなく 3rd Party ベンダーに関する観点でのセキュリティも問われる点は面白いです。

DOMAIN 1.7 Summarize the techniques used in security assessments.

セキュリリティアセスメントの話。攻撃を見つける手法や脆弱性を見つける手法、SEIMやSOARなども。

DOMAIN 1.8 Explain the techniques used in penetration testing.

ペネトレーションテストの話。

まだ DOMAIN 1 までのまとめですが、凄く手を抜いているように見えますが結構時間がかかり大変です。。。 今日はここまでにします(別途書き足します)。

試験の対策

最初に言ってしまうと、特に事前の準備も行わず受験しました。 スコアは 762 点と750点の合格点からギリギリでした。問題数は90問、スコアは 100-900となり、全ての問題が同じ点数配分とはなっていないと思いますが、後1−2問を間違えていたら不合格だったと思います。 シラバスも実は受験前に目を通しておらずでして、、、シラバス見ていたらもうちょっと危機感もって事前に勉強して受験したとは思います。 

その上で、受験を考えている人に言えることは、シラバスに目を通し、わからない用語があった場合は調べる、が一番の試験対策になると考えます。 調べるの深さですが概要レベルで問題ないと思います。 例えば、攻撃を自分で実行できるまでの深い知識までは不要ですが、だれがどこからどうやって攻撃するのかを箇条書き3行程度で説明出来るレベルで理解出来ていればこの試験には十分だと考えます。 なお、試験後にシラバスを見る限り、書いてある言葉で全く聞いたことが無いものは1割、ちゃんと説明できるか怪しいものが1割はありました。 そういう意味では 762 点というギリギリのスコア通りの知識・技術レベルで、それが正しくテストで評価されたと言えます。

あとは、この試験を受験している会社の同僚などの話から、市販のWeb模試をやっても合格出来ないケースも散見されます。 Web 模試の中身を見ていないから何とも言えないのですが、模試もその問と答を覚えるだけでは合格の水準には到達せず、設問本文や回答文に出てくる用語を知っているかどうかなのだと思います。それはつまり、上の書いたシラバスを眺め、知らない用語を無くす、ということなのだと考えます。

もう1つ、英語での受験についてです。 今回、PearsonVUEから申し込みする際に英語しか選べなかったのですが、英語の Native ではないということで試験時間は90分に+30分され120分となりました。 私の拙い英語力(TOEICで700点台)と問題数の多さ(90問)から120分でギリギリでした。 設問本文と回答分も短文が多いので日本語化していれば時間が足りないということは無いなとは思いましたが英語で受ける際には当たり前ですが早く読めないと90問の問題数は難易度を上げる1つのようそになるかもしれません。

その他の CompTIA 試験について

所属する会社で CompTIA の認定を推進していることもあり、この Security+ の認定を受ける前に Cloud+ と Project+ の2つの認定も取得しています。 この2つの認定の話は機会があればブログに書くかもです。

あとは CompTIA の良いところとしてキャリアパスの道標として利用できることがあります。 以下は Cybersecurity に関するキャリアパスですが、今回の Security+ の次に PenTeste+ と CySA+ 、そしてCASP と進んでいくことで Cybersecurity の技術者として成長できることがわかります。 私自身はセキュリティに特化する気持ちはあまりないのですが何をするにせよセキュリティに関する知識は必要な現状、この CompTIA をキャリアパスにのっかって CASP まで取得を進めようと考えています。

https://www.comptia.jp/certif/comptia_certification/

Cybersecurity 以外にも Infrastracutre に関するキャリアパスも提供されています。 ただこちらはゴールとなる Cloud+ はすでに取得済であるのと、以下の領域となる Legacy というか従来技術は十分に現場で経験したこともあり上記の Cybersecurity をまずは進めていきます。

https://www.comptia.jp/certif/comptia_certification/

以上