GX-FA受験体験記

直訳:十分に経験済みのデジタルフォレンジック分析官であることをGIACが証明する資格

2024年2月にGIAC Experienced Forensic Analyst (GX-FA)を受験し合格しました。この記事ではどういう試験かの概要と私がどのような準備を行なったかをご紹介します。2023年11月に受験した際は不合格になったため、リテイクでのリベンジ突破です!
不合格と合格の間の準備ギャップについても末尾で触れています。
これから受験を検討される方の参考になれば幸いです。

※出題された問題や試験環境(CyberLiveの解析VM環境)については、受験時に合意するGIACとのNon-Disclosureルールにより書いておりませんのでご了承ください。

GX-FAの公式紹介ページ

GX-FAとは

GIACが2023年より始めたApplied Knowledge Certifications、いわゆるGX-資格シリーズの一つであり、経験を積んだフォレンジック調査官であることを対外的に証明する資格とされています。
2回受験してみて実際にこれはフォレンジック調査経験がないと運だけで合格するのは不可能だなと感じましたので、利用するツールに偏りがあるものの本当にその通りだと思います。

関連ドメイン(試験範囲)

GX-FAの試験範囲となるSANSトレーニングコースとそれにリンクするGIAC資格の一覧です。
フォレンジック調査に関連する合計10コースもあり、FOR508 (GCFA)がPrimary適応ドメインとして主軸になっています。

  • ✅FOR508 Advanced Incident Response, Threat Hunting, and Digital Forensics GCFA(Primary fit)

  • FOR498 Digital Acquisition and Rapid Triage GBFA

  • ✅FOR500 Windows Forensic Analysis GCFE

  • SEC501 Advanced Security Essentials - Enterprise Defender GCED

  • SEC503 Network Monitoring and Threat Detection In-Depth GCIA

  • ✅SEC504 Hacker Tools, Techniques, and Incident Handling GCIH

  • FOR509 Enterprise Cloud Forensics and Incident Response GCFR

  • FOR572 Advanced Network Forensics: Threat Hunting, Analysis, and Incident Response GNFA

  • FOR608 Enterprise-Class Incident Response & Threat Hunting GIAC なし

  • ✅FOR610 Reverse-Engineering Malware: Malware Analysis Tools and Techniques GREM

✅マークがついているSANSトレーニングコースの受講とリンクするGIAC資格を私はすでに保持しているステータスでの受験でした。
「Applied Knowledge Certifications」と比較して従来の1 SANSトレーニングコースにリンクするGIAC資格は「Practitioner Certifications」と呼ばれるようになりました。

以下は、GX-FAカバー範囲と資格が証明してくれることについて、公式ページからの引用です↓

> Areas Covered
* Windows host file system artifacts
* Windows system triage analysis
* Windows volatile evidence
* Windows system and activity event analysis
* Enterprise threat hunting identification and detection
* Malicious threat actor activity in an enterprise environment

> Exam Certification Objectives & Outcome Statements
※受験後にはこの項目ごとに五段階の⭐️スコアが付与されます。正答率の全体%などは表示されません。
* Analyzing Artifacts of Lateral Movement
悪意のある横方向の動きによって引き起こされたイベントを認識し、分析できるようになります。
* Examining Evidence of Execution
Windows ホスト アーティファクトのレビューから、起動されたプログラム、スクリプト、その他のファイルの証拠を認識して分析できるようになります。
* Examining Volatile Evidence
メモリに常駐するアーティファクトを分析して、通常のイベントと悪意のあるイベントの両方を識別できるようになります。
* Examining Windows Event Log Data
Windows イベントログ データを使用して、通常のイベントと悪意のあるイベントの両方を分析および識別できるようになります。
* Examining Windows File System Artifacts
Windows ホストのアーティファクトを確認して、通常のアクティビティと悪意のあるアクティビティの両方を分析できるようになります。
* Identifying Evasion Techniques
悪意のある活動の証拠を削除または偽装するためのコマンドまたはアプリケーションの使用を特定するために必要なタスクを実行できるようになります。
* Investigating Credential Theft
ホスト資格情報の収集および侵害中に作成されたアーティファクトを認識および分析する能力を実証します。
* Investigating Persistence Mechanisms
ホストベースのログ、システム構成、および揮発性データの分析に基づいて、構成の変更、スクリプトの作成と使用、悪意のあるアクティビティの存続、起動、再起動を可能にするように設計されたプログラムの実行を認識および分析できるようになります。
* Temporal Event Analysis
Windows ホスト イベント データを確認して、通常のアクティビティと悪意のあるアクティビティの両方を分析できるようになります。

https://www.giac.org/certifications/experienced-forensic-analyst-gxfa/

試験方式

  • デジタルフォレンジック調査を設問にそって実際に行う。

  • 全問CyberLiveによるハンズオンです。

    • (FOR508ではコースで利用した「SIFT VM」というようにおそらくPrimary適応コースで利用する解析用VM環境が用意されていると考えています。)

  • 4時間(240分)で合計25問です。単純計算で1問にかけられる時間は9分程度です。

    • (実際にツールを実行結果を取得したりファイルを開いたりする時間も含まれているので、9分が本番では結構短く感じます)

  • 合否閾値のスコアパーセンテージ、受験後のスコアパーセンテージは不明です。ただ各ドメインの正解率5段階評価は表示されます。

  • 選択問題と記述問題などが混ざっていたりします。いままでのGIAC資格のような4択の選択問題というわけではなく、運での突破は難しいと考えます。

  • 受験費用は、定価1299 USDです。

    • 私の受験時では、アクティブなGCFAを持っていると499 USDで受験できました。

  • オープンブック (テキストなど紙の持ち込み可)

受験したきっかけ

2023年9月からオープンになったかなり新しい資格でしたが、SANS DFIR SUMMIT 2023にて受験料が30%OFFになるバウチャーコードが発表されていたのと、2023年4月からGXシリーズの資格が始まっていたのは知っていたものの、最初に取得するなら自分がいま最も興味のあるデジタルフォレンジックの資格がよいなと思っていたからです。
GCFAも持っていたため、バウチャーコードと併用して初回349 USDで申し込めたのはいいものの、初回不合格になりリテイク費用を追加で399 USD支払いました。
円安だったので、日本円だと2回で合計11万円ぐらい払いました。
すぐリテイクに踏み切ったきっかけは、リテイクの方が安価であり、絶対にとっておきたかった資格であったためです。初回不合格後も合格への突破口がまったく見えてませんでした。

次章からは、私が合格までに遂行した「試験対策の内容」「1回目受験時の所感と⭐️スコア結果」、「2回目受験時の所感と⭐️スコア結果」と、GX-FA試験におけるポイントの「まとめ」を記載しております。

試験対策の内容

ここから先は

3,484字 / 2画像

¥ 100

この記事が気に入ったらサポートをしてみませんか?