• 受講経緯
  • SANS GMOBとは
• オンデマンド受講&試験勉強
  • 教材資料
    • テキストブック
      • Device Architecture and Application Interaction
      • The Stolen Device Threat and Mobile Malware
      • Static Application Analysis
      • Dynamic Mobile Application Analysis and Manipulation
      • Mobile Penetrating Testing
    • 動画
    • ラボ
    • CTF
  • 試験勉強
    • 8~9月
    • 10月
    • 11月
• 試験
• まとめ

こんにちは、デジタルペンテストサービス部の魚脳です。今回はオンデマンドでSANSのトレーニングを受講した経験と感想を紹介します。

受講経緯

2021年度初め、会社の研修としてSANS GMOB(GIAC Mobile Device Security Analyst)のトレーニングを受けることが決まりましたが、GMOBコースの受講者が多くないからか、なかなか東京開催がなかったため(12月に6年ぶりに東京開催があったらしい)、残された道はオンデマンドでの受講と他国開催でのオンライン受講の2択になります。開催時期や受講の自由度などいろいろ考えた末、最終的に4ヶ月動画視聴可能のオンデマンド受講を選びました。

SANS GMOBとは

SANS GMOBとはGIAC Mobile Device Security Analystの略であり、SANSのモバイルセキュリティ関連コースの1種であります。

このコースを通してモバイルデバイスのセキュリティを効果的に評価し、アプリケーションの欠陥を評価・特定し、デバイスのペネトレーションテストを実施するために必要なスキルを習得できます。

オンデマンド受講&試験勉強

教材資料

支払いから約2週後、教材資料が届きました。教材はおそらくスタンダードな構成になります。

• テキストブック×5
• ラボ解説×1
• CTF+インデックス×1

テキストブック

5冊に分けられ、内容は大体公式サイトに載ってるシラバスから確認できると思いますので、ここでは個人的に勉強になった部分を列挙します。

Device Architecture and Application Interaction

• iOS/Androidのアーキテクチャとセキュリティ機構
• 両OSのパーミッション･権限
• アプリケーションの署名
• アプリ間のデータ共有

The Stolen Device Threat and Mobile Malware

• 端末紛失した場合の脅威と対策
• パスコードバイパス
• Root/Jailbreak
• iOS/Androidファイルシステム
• iOS/Androidバックアップ機能とファイル構造

Static Application Analysis

• 自動/手動静的解析
• 難読化の解除
• Xamarinなど他プラットフォームアプリの解析

Dynamic Mobile Application Analysis and Manipulation

• Androidアプリの再コンパイル
• frida/cycriptによる動的解析

Mobile Penetrating Testing

• 通信キャプチャ
• 中間者攻撃
• SSL Pinningとバイパス

動画

｢動画のリンクはSANSのマイページから確認できます｣という趣旨の案内メールが来ます、開始から4ヶ月見放題です。

動画の内容はテキストブックを基づき、いい意味でも悪い意味でも｢忠実｣に説明してくれる形になります。基本毎ページ最低でも1,2言で触れられるが、それ以外｢アドリブ｣の情報が少なめです。最初英語を聞き取れないとかを割と心配しましたが、インストラクターの英語は聞きやすくて、癖があまりない方だと思います(たまたま?)。各コースにはオンデマンドデモ動画¹が用意されてあるので、事前に確認することがおすすめです。

ラボ

ラボは全部リモートのバーチャルマシン上でやることになります、ブラウザベースなのもあり、操作が重めです。

CTF

オンサイトのトレーニングでは最終日にチームを組んでCTFをやるらしいですが、オンデマンド上は常設になります。全問正解しても特に何ももらえません。(オンサイトだと優勝チームに実物バッジがもらえるらしい)

試験勉強

8~9月

教材が届いてからの約2ヶ月はほぼ手つかず状態。

10月

そろそろやらなきゃと思い、まず先に試験を予約し(12月)、自ら退路を断つことにしました。これであと2か月ということで、とりあえず10月のうちにテキストブックを一周して、あと模擬試験を一回をやるプランを立てました。

最初は動画を観ながら、テキストブックの内容を進めましたが、途中から動画の内容とテキストブックの解説がほぼほぼ一緒なことに気づき、テキストブックだけ読むことにしました。重要そうなところを一応蛍光ペンでマークしながら、テキストブック5冊を一周しました。基本は仕事終わりや週末の暇なときに進めましたが、進捗がイマイチだったため、一週間有給を取って取り組みました。

そのあとすぐに1回模擬試験を実施しました。覚えたてというのもあり、なんとかいい点数を取れましたが、覚えていない部分に関してはテキストブックから一発で見つけられないことがかなり時間のロスになったことに痛感しました。試験はオープンブック形式であり、パッとわからない問題をいかに早く資料から答えを見つけることがキーになります。この反省を活かして他の受験記²を参考にして、下の図のようなインデックスを作りはじめました。 おそらく検索したらいろんなインデックスの作り方があると思いますが、個人的に｢この用語｣は｢どのページ｣にあることさえ分かればあとはそのページに引いたマーカーでなんとかなるかなという算段でしたので、項目を｢ページ｣｢キーワード｣と｢一口メモ｣だけにしました。 またテキストを開かずに大体の内容を把握できるように、付箋に小節の内容を記載して貼っておきました。

11月

残りの1ヶ月は2回ぐらいテキストブックを読み直して、忘れそうなところや初見の用語をインデックスに追加し続けました。

試験一週間前に作成したインデックスをプリントし2回目の模擬試験をやりました。偶然かもしれませんが、1回目とかぶる問題が多い気がします。残りの1週間は2回目の模擬試験で迷った部分を含めて、テキストブックの読み直しとインデックスの整備を繰り返しました。

試験

当日はテキストブックと自作したインデックスを持参して挑みました。本番の問題は模擬試験と出方が若干異なり、｢素直｣な問題が減ったような気がします。序盤はそれに困惑し、慎重に進めすぎたせいで、ちょっと時間が押してしまったので、後半は時間を意識しながら少し駆け足でやってました。最終的に作ったインデックスのおかげで残り5-10分で完答して、なんとか無事に合格できました。

まとめ

今回SANSのトレーニング(GMOB)をオンデマンドで受講してみました。オンサイト開催を体験したことがないので比較はできませんが、オンデマンドのメリットとしては何と言っても「自由」、期間や時差など気にせず自分のペースで進められるのが魅了的です。もし受けたいSANSのトレーニングがどうしても東京開催がない場合、オンデマンド受講は選択肢として悪くないと思います。

[1] OnDemand Cyber Security Training | SANS Institute
[2] How To Build a SANS GIAC Index - ericooi.com