午前7時のしなもんぶろぐ

駆け出しのセキュリティエンジニア、しなもんのぶろぐ。

DF基礎資格(CDFP-B)合格体験記+α

先日受験したデジタル・フォレンジック・プロフェッショナル認定 (CDFP: Certified Digital Forensic Profesional) 基礎資格 (以下、CDFP-B) に合格しました。

digitalforensic.jp

 

比較的新しい試験で情報も少ないので、今回はその概要と受験に際して私が行ったことをまとめます。

 

 

CDFP-B とは

CDFP-Bは、特定非営利活動法人デジタル・フォレンジック研究会 (以下、IDF) が実施する認定試験のひとつです。

 

CDFP には次の 3種類があります。

  1. 基礎資格(Basics)
  2. 実務者資格( Practitioner)
  3. 管理者資格( Management)

私が今回合格したCDFP-Bは、このうち最も基本的な基礎資格です。

 

なお、CDFP-Bの認定試験は今回 (私が受験した回) で 5回を数えますが、CDFP-P (実務者資格) の試験はまだ 1回しか実施されておらず、CDFP-M (管理者資格) に至ってはまだ一度も試験が実施されていません。

したがって知名度の広がりもまだこれからというところです。

 

CDFP-B試験は、デジタル・フォレンジックとは何か、どのような分野で使われているかといった、デジタル・フォレンジックの位置づけや取り巻く事情について一通りざっくり理解していることを認定する試験です。

 

私が本試験を受験しようと思ったのは、DFIR (Digital Forensics and Incident Response) という言葉が表すように、デジタル・フォレンジックとインシデントレスポンスは一続きのものであって、後者をよりよく行うためには前者の知識が必要なのではないか、と考えたことによります。

もちろんデジタル・フォレンジックはサイバーセキュリティにおけるインシデントレスポンスとだけ関わるものではなく、不正調査や種々の民事裁判、刑事裁判 (いわゆるデジタル犯罪以外に係るものも含む) でも利用されます。

そうした全体像を手っ取り早く押さえるのに本試験が有効であると考えました。

 

実は当初関心を持ったのは実務者資格 (CDFP-P) の方だったのですが、こちらの受験にはCDFP-Bの取得が必須なので、まずはこちらに挑戦することになりました。

 

申し込み

実のところ、この試験で一番危ういのはこの段階だと思います。

 

特定の時期に的確に申込を行う必要があるのですが、なぜか IDF は受付開始の告知を積極的に行っておらず、新着情報一覧や公式 Twitter アカウントを監視しても捉えることができません

試験予定日の前々月くらいになったら数日おきに試験のページを確認した方がよいと思います。

私のときもいつの間にか受付が始まっていて焦りました。

 

本試験にはなんと定員があり、第5回の場合は東京会場で 80名、京都会場で 48名でした。

第5回の東京会場についてはこの定員には全然達していなかったのですが、過去には定員を上回る申し込みがあったこともあるようですし、どこかの企業や機関が組織的に受験し始めればすぐ埋まってしまう数なので、本気で受験するつもりならまめに監視した方が無難だと思います。

 

受験料は私のように何もない一般人の場合 18,000円でした。IDF 会員や学生は安くなります。

舶来モノ資格と比べれば安価な部類ですが、CDFP-Bの知名度を考慮するとあまりお買い得とは思いません。

 

試験対策

過去問は公開されておらず、問題集や模試も出回っていません。試験対策はインプット中心で行うことになります。

そのかわり、IDF による公式のバックアップはかなり充実しています。

 

基礎から学ぶデジタル・フォレンジック

www.juse-p.co.jp

本試験の公式テキストです。試験問題の大多数はこの本の 1章~4章から出るので、通読して頭に入れておくことが重要です。

IDF 会員の場合は IDF を通して購入すると割引がきくそうですが、普通に書店で購入しても問題ありません。

 

シラバス

digitalforensic.jp

情報の少ない試験であればあるほど、試験実施団体が公表しているシラバスは重要な情報源となります。一通り目を通しておくことを推奨します。

ほとんどは「基礎から学ぶ~」の内容なのですが、第4章については「基礎から学ぶ~」で触れられていない事柄がシラバスに含まれている (≒出題され得る) ので注意が必要です。

 

公式解説動画

受験料を支払うと受験票と一緒に URL が送られてきます。

 

大部分は「基礎から学ぶ~」のおさらいなので観なくても合格できると思いますが、そんなに長いものでもないので一通り観ておいてもバチは当たらないでしょう。

文章を読むより話を聞く方が理解しやすいというタイプの方には特に役に立つと思われます。

 

証拠保全ガイドライン

(PDF)

https://digitalforensic.jp/wp-content/uploads/2023/02/shokohoznGL9.pdf

 

IDF が公表している有名な資料です。

私が受験する前は第8版が最新だったのですが、その後第9版が公開されました。

 

試験実施団体が作成したものなので、試験問題と方向性に大きなズレがないと考えられるのが大きなメリットです。

もともと実務向けの資料なので、フォレンジックの実践につなげるイメージを得るのにもちょうどよいと思います。

 

ただ、「証拠保全」は本試験の範囲のごく一部に過ぎないので、試験対策という意味ではやや優先順位が落ちます。

 

デジタル・フォレンジックの基礎と実践

www.tdupress.jp

「基礎から学ぶ~」と一部著者が共通する、数少ない日本語のフォレンジックの教科書です。

 

「実践」と名乗るだけあり、「基礎から学ぶ~」と比べると技術寄り・実務寄りで、併せて読むと理解が深まると思われます。

 

その他

本試験はデジタル・フォレンジックを取り巻く世界の概要を理解することを目的としており、普段なじみのない不正調査や訴訟に関わるパートが多いです。

視野が広がるのは大変結構なことで当初の狙いでもあるのですが、業務やもともとの興味関心に直接関係するものではないのも確かで、正直これにばかり取り組んでいるのは苦しいと思いました。

 

そこで、具体的なアーティファクトを取得して分析するような、よりサイバーセキュリティの実務に即した内容も取り入れました。

具体的には、次のような本を読んで気分転換を行いました。

あくまで気分転換なので、試験での成績とはあまり関係なかったと思いますが。

 

 

 

日本語で入手できればもっと良かったのですが、ないものに文句を言っても仕方ないですし……

 

受験

会場は東京と京都に 1ヶ所ずつです。申し込み時に好きな方を選択します。

 

60分で 40問を解きます。解答用紙はマークシートです。

 

メールで送られてくるバーコードが受験票になります。スマホなどの画面で見せるか、印刷して持ち込むことになります。

受験には本人確認証明書、すなわち運転免許証、マイナンバーカード、パスポートのいずれかが必要なので事前に準備しておきましょう。

 

試験には「基礎から学ぶデジタル・フォレンジック」とノートを持ち込むことができます。つまり公式テキスト (や自分でまとめたノート) を見ながら解答することができます

合格点や合格率は非公表ですが、持込前提で調整されていると思われ、何も持ち込まないと著しく不利になります。使うものは必ず用意して持っていきましょう。

 

(「基礎から学ぶ~」以外の書籍も持ち込めるとする主張もあるのですが、受験案内で明示されていなかったので、できないと考えた方が無難だと思います。また本試験の問題はほぼ公式テキストから出るので、それ以外の資料を持ち込めたとしても特段有利にはならない気がします)

 

戦術としては、見てすぐわかる問題をすいすい解いた後、自信のない問題についてテキストを見ながらじっくり取り組む、というものになるだろうと思います。

問題量に対して時間は十分あるので、よほど不勉強でない限り足りなくなるということはないでしょう。

 

私は結果として 40点、つまり満点で合格したのですが、持込試験なので高得点で当たり前、あまり自慢できるものではありません。

 

実務者試験へ!の、はずが……

さて、首尾よく基礎試験に合格したので、いざ本命の実務者試験に挑戦したいところです。

(管理者試験を受験するつもりはありません。ヒラ社員なので)

 

こちらは基礎試験と異なり公式教材や持込などの有利な条件がなく、公式にも「かなり難易度の高い実務に即した問題を出題しており、また、合格点も高いことから厳しい合格率になっています」と表現されるほどで、挑戦するなら全力を尽くしての決戦となるでしょう。

(引用元)

digitalforensic.jp

 

と思っていたのですが、あることに気づいてしまい迷っているのが現状です。

 

実務者資格は資格維持のために継続教育ポイント (CPE) を稼ぐ必要があります。

それ自体は他の資格でもあることなのでいいのですが、問題はその条件です。

 

DF実務者資格維持の継続教育(CPE)ポイントについて (PDF)

https://digitalforensic.jp/wp-content/uploads/2022/11/0f7604233072ef29202341dc4d74521e.pdf

 

 

3年間で 50ポイント必要です。

例えば CISSP が同じ期間で 120 CPEクレジットを要求することを考えると、これも大したことではありません。

しかし、

 

  • IDF 主催のイベントや分科会への参加は 1時間 1ポイント
  • 他のイベントへの参加は 1時間 0.5ポイント
  • 対象となるイベントは「決まったものから随時公表」、つまりまだ明らかでないうえ IDF が指定したもの以外不可の可能性大
  • 他に稼ぐ手段なし

 

まとめると、IDF の活動に参加しない人は、IDF が指定したイベントへの参加だけで 3年間で 100時間、1年あたり平均約 34時間分のポイントを稼ぎ出す必要があるのです。

 

いくらなんでも、この条件は、ヒドイ。

 

いわゆる温泉系イベントが 1回あたり 10時間前後のようなので、年 34時間をクリアするためには、このクラスのイベントに年間 3~4回参加し続ける必要があります。

受講証明書の類を発行するイベントの多くは有料ですし、遠方での開催であれば交通費や宿泊費もかかります。

毎回会社が出してくれるならともかく、そうでない人にとっては相当の負担です。

 

そもそもどのイベントが指定されるかわからないということは、年 34ポイント稼ぐに十分なだけのイベントが指定されるかどうかさえ不明ということです。

 

率直に申し上げて、すでに会員として活動している人の都合だけを考えて作った制度としか思えません。

 

CPE という名前から、発想元は (ISC)2 など海外系団体が認定するセキュリティ資格と思われます。ここでは最も有名と思われる CISSP と比較して考えます。

CISSP は 3年間で 120CPEクレジット (120時間相当) 必要なので、総量のうえではCDFP-Pを上回ります。

しかしこちらは (ISC)2 の活動や各種イベントへの参加のほか、トレーニングの受講、ウェビナーの視聴、読書 (所見を書いて送る必要あり)、本やホワイトペーパーの執筆など幅広い活動がその対象となるので、自由度が高いです。

他の目的で何かを行うついでに CPE を稼ぐこともできますし、一気に大量に稼ぐのも少しずつコツコツ貯めるのも自由です。

そのため、実際にはそこまで負担が大きいわけではありません。

一方でCDFP-Pは、3年間で 100時間分のイベントへの参加が必須です。それしかないからです。

明らかに先行例を意識しているのに、その先行例より劣った制度をわざわざ作ってしまう理由が私には理解できません。

 

専門性を高め維持するために努力しろというのはもっともなことで、こちらとしても望むところです。

しかし、その手段を特定の何かに限定されることは気に入りません。

 

それに、CDFP-Pの知名度は微々たるもので、今後急激に向上する見込みは薄いです。

(限られた会場でしか受けられないうえに定員があるので、受験者・合格者数が増えるペースに限界があるためです)

ほとんど誰も知らない資格のためにこれだけの時間やお金を投資できるかというと……

 

というわけで、実務者資格は受験するかどうか未定です。

受験はするかもしれませんが、仮に合格できても取りっぱなしにすると思います。