はじめに

こんにちは、MBSDでWeb・スマートフォンアプリの脆弱性診断サービスを担当している金子です。

先日、自身の技術力向上を目的に、SANS Institute が提供するスマートフォンアプリのセキュリティについて学ぶトレーニングプログラム「SEC575」を受講し、それに関連するGIAC「GMOB」試験も受けてきました。このトレーニングおよびGIAC試験に関する情報は、特に国内においてはさほど知られていないように見受けられるため、今回のMBSDブログではその受験記をお伝えしたいと思います。スマートフォンアプリのセキュリティについて知識を深めたい方やGIAC試験へのチャレンジを検討されている方の一助となれば幸いです。

※なお、本記事に記載した内容は、私がトレーニングやGIAC試験を受験した2025年3月～7月時点の情報に基づいています。お読みいただいた時点での内容とは異なる可能性がありますのでご了承ください。

SANSトレーニングプログラム「SEC575」/ GIAC「GMOB」試験とは

SANS Institute はサイバーセキュリティに関わる様々なトレーニングを提供している組織です。各トレーニングは、その分野の第一線で活躍されているエンジニアの方々が講師を務めており、セキュリティ界隈では認知度・評価が高いトレーニングと言えるかと思います。

Webアプリケーションのセキュリティやペネトレーションテスト、フォレンジックなど多数のトレーニングが提供されていますが、そのなかで今回ご紹介するのはスマートフォンアプリのセキュリティにフォーカスした「SEC575: Mobile Device Security and Ethical Hacking」です。
https://www.sans.org/cyber-security-courses/ios-android-application-security-analysis-penetration-testing

このトレーニングでは、Android・iOSデバイスにインストールされたアプリが各プラットフォーム上でどのように保護されているか、またそれらの保護をバイパスしてアプリの挙動を解析したり、アプリが保存した重要情報を第三者が入手したりするためにはどのようにすればよいか、といった内容を扱っています。

これまで、スマートフォンアプリのセキュリティに関しては自社におけるトレーニングや自己学習により理解を深めてきましたが、より効率的に診断する方法がないか、また、最新情報へのアップデートに漏れがないか等を確認するため、改めてスマートフォンアプリのセキュリティを体系的に学び直したいという思いがあり、そのようなトレーニングがないかを探していたところ「SEC575」に辿り着いた、という次第です。

受講費用がかなりの高額であることもあり、会社に対して受講希望を申し入れることをしばらくの間躊躇していたのですが、思い切って上司に相談したところ快諾してもらえたため無事受講することができました。弊社には、トレーニングや資格などを通じてエンジニアが技術を習得する機会を積極的にサポートする組織文化があります。毎年多くのエンジニアがトレーニングを受講し、その一部はレポートとして弊社ブログ記事にアップされているため、ご興味のある方はそちらも覗いてみていただければと思います。

なお、SANSのトレーニングには、それぞれの学習範囲を対象にしたGIAC試験というものも提供されています。「SEC575」には、「GIAC Mobile Device Security Analyst (GMOB)」 が紐づいており、今回はトレーニングの受講に加えて、この資格の受験にも一緒に申し込みました。トレーニングの受講とあわせてGIAC試験の受験も申し込むと模擬試験2回分が無料で付いてくるためお得ではありますが、受験費用はUSD 999とかなり高額な試験といえます。トレーニングの受講費用や教材の輸送費用とあわせると、合計は USD10,000を超える金額となり、とても個人で負担できるような金額ではありません…。受講希望を受け入れてくれた自社に感謝しつつ、「必ずや内容をものにしなくては…！」と身が引き締まる思いを胸に申し込みを行いました。

トレーニングの受講形式

さて、SANSのトレーニングには、リアルタイムで開催されるトレーニングに直接・もしくはオンラインで参加する「ライブ形式」と、事前に録画されたトレーニング動画を利用して受講者が学習を進める「オンデマンド形式」の2つの受講形式があります。

「SEC575」は例年、日本の受講者向けにオンラインライブ形式でトレーニングを開催しており、そちらは日本語の同時通訳もあるようでしたので、できればそちらの形式での受講を考えていたのですが、残念ながら受講を検討していたタイミングでは国内向けオンラインライブ形式のアナウンスがされていなかったため、今回はオンデマンド形式で申し込みました。

※この記事執筆時には、2025年11月開催のオンラインLive形式のトレーニングについてアナウンスされていました。ご興味のある方はこちらのリンクをご参照ください。
https://www.sans.org/cyber-security-training-events/japan-november-2025

なお、ライブ形式の場合は所定の期間（「SEC575」の場合は6日間）ぎっしりトレーニングに充てることになるため、業務との調整が難しい方もいらっしゃるかと思いますが、オンデマンド形式の場合は、トレーニング動画には4か月間いつでもアクセスでき、自身のペースで学習を進めることができます。日常業務と並行して学習を進めたい方には適した受講形式といえそうです。

オンデマンドトレーニングと学習リソース

オンデマンド形式でトレーニングの受講を申し込むと、程なくして紙のテキスト教材が詰まった小包が海外から送られてきます。（私の場合は申し込みしてから10日後に受け取りました）テキスト教材の構成は以下の通りです。上記の「SEC575」の紹介ページに記載されたシラバスのSECTION 1～6の内容がそれぞれ1冊の冊子としてまとめられたものと、実際に手を動かしながら理解を深める「Hands-On Lab」の手順が1冊にまとめられた「Workbook」の計7冊でした。

・575.1 iOS
・575.2 Android
・575.3 Static Application Analysis
・575.4 Dynamic Application Analysis and Manipulation
・575.5 Mobile Penetration Testing
・575.6 Capture the Flag
・Workbook

冊子の各ページには、トレーニング動画で解説されるスライドが上部に配置され、その下にその解説が記載されるといった構成となっています。まずは、iOS・Androidデバイス内でどのような仕組みによってアプリのセキュリティが保護されているかを学び、そのうえでアプリの静的解析・動的解析を実施するためのテクニックや、セキュリティテストを阻害する仕組みに出くわしたときに役立つトラブルシューディング等が説明されています。SANSやGIACの規約に違反するおそれがあるため、内容を詳しく記載することはできないのですが、なかにはスマートフォンアプリの診断業務に役立つツールやTIPSも紹介されており、非常に学びがいのある内容となっていました。

また、SANSのマイページではトレーニング動画に加えて、以下の電子教材が提供されます。

・「Hands-On Lab」で利用する仮想マシンとそのセットアップ手順書
・575.1～6の冊子を1つにまとめたPDFファイル
・トレーニングの音声データ

なお、トレーニング動画は受講開始から4か月間視聴可能になりますが、受講を開始するタイミングは受講者側で制御できます。そのため、トレーニングの申し込み後に少し間をおいてから受講を開始するといったことも可能でした。ただし、期限はあるようで、私の場合は申し込みを完了してから約3週間後の期日までに受講を開始しなければならない仕組みになっていました。

学習の進め方と費やした時間

オーソドックスな進め方ではありますが、まずトレーニング動画を視聴し、その後に動画で解説された箇所をテキスト教材を利用して理解度を深める、という流れで学習を進めていきました。トレーニング動画の解説は基本的にテキスト教材の内容に沿ったものでしたが、時折、テキスト教材に記載されていない講師の経験や推奨する検証方法等の+αの話題に及ぶこともあったため、漏れなく学び取りたい方はひと通り動画を視聴することをお奨めします。

なお、トレーニング動画はすべて英語で解説されます。私は英語のヒアリング能力があまりないので解説されている内容を理解できるか不安に感じていましたが、動画には設定で英語字幕を付けることもできますので、うまく聞き取れなかった箇所は字幕でカバーできました。

ちなみに、上記の「SEC575」の紹介ページに「36 Hours (Self-Paced)」と記載されていることから、トレーニングは36時間で学習することを想定しているようです。また、以下のページにも記載されている通り、GIAC試験の準備にはSANSトレーニングに加えて平均で55時間の自己学習が必要とされています。
https://www.sans-japan.jp/giac/get_certified

これらのことから、トレーニングの受講およびGIAC試験の対策には合計100時間弱を費やすのが平均的な目安と言えるのかなと推測されますが、私は「動画もテキストも一言一句漏らすまい…」と念入りに時間をかけたこともあり、少なくとも200時間程度は費やしていたのではないかと思います。それまで知らなかった事柄や、後々GIAC試験で問われそうな内容についてはテキスト教材に蛍光ペンで線を引きながら、頭の中にインプットしていく作業を繰り返しました。ただ、私の場合はそれでも試験前は準備が足りないと感じるほどでしたので、学習にかかる時間はひとそれぞれなのかなと思います。

GIAC「GMOB」試験対策

トレーニング動画の視聴を開始すると、ほどなくしてGIAC試験の予約方法や受験可能な期限を知らせるメールが届きました。私の場合は、トレーニング動画の視聴を開始した日から4か月後の日付が期限として設定されていたように記憶しています。

GIAC試験にはオープンブックポリシーという受験ルールがあります。それは、トレーニング用に配布されたテキスト教材や紙の英和辞書など印刷物に限り持ち込むことができるというもので、そこには受験者が作成したノートなどの資料も含まれます。試験対策を紹介するブログ記事を検索すると、多くの方がテキスト教材のインデックスを作成して持ち込んでいるようでしたので、私もそれに倣ってインデックスを作成しました。

なお、「GMOB」試験では試験時間2時間で75問の選択式問題が出題され、71%以上の正答率で合格となります。問題によっては、かなり細かい設定やコマンドのオプションの意味を問うような内容もあるため、頭の中の記憶だけを頼りに回答するのは難しいケースもあります。そういった問題に対しては、いかにはやくテキスト教材から正解を引き当てられるかが重要になってきます。私の場合は、テキスト教材の読み込みに時間をかけていた効果もあり、問われている内容が概ねどの辺りのスライドで解説されていたかをイメージできたので、スライドのタイトルとそのスライドのページ番号だけわかれば、以下の戦略でテキスト教材から正解を探し出せそうな感触でしたので、ページ番号・スライドタイトルと簡単なメモを列挙したインデックスを用意して試験に臨みました。

1. 問題で問われている内容を理解する。
2. その内容が記載されていたスライドがテキスト教材のどのあたりだったかをぼんやり思い出す。
3. インデックスを用いて正確なページ番号を特定する。
4. そのページ内で蛍光ペンが塗られた箇所を中心に回答を探す。

模擬試験

上の文章でも触れましたが、トレーニングの受講と合わせてGIAC試験にも申し込んだ場合は、無料で模擬試験を2回受験することができます。（模擬試験はオンラインで好きな場所・時間に受験できます）私は準備が遅れたため、試験本番まで1週間を切ってから、2回立て続けに模擬試験を受けることになってしまいましたが、模擬試験を通して本試験の感触をつかむことはできました。

ただ、模擬試験については以下の点をあらかじめ認識しておいたほうが良いと思います。

・問題を回答後、すぐに正解がわかる
本試験も同様ですが、模擬試験でも回答を後から変更することはできません。本試験では当然、すべての問題に回答してから合否が分かるのですが、模擬試験では回答の都度、その問題の正解・不正解が表示されます。また、問題の解説も表示されますが、その表示はその場限りで、後になって再表示することはできませんので、模擬試験後にゆっくり不正解箇所を見直すということはできません。このため、回答後即座に解説を読む必要があるのですが、その間も試験時間のタイマーは止まりませんので、のんびり確認している暇はありません…。

・2回目の模擬試験では、1回目と同じ問題が多く出題される
受験者によるのかもしれませんが、私の場合は1回目の模擬試験で出題された問題と同じ問題が、2回目もそのまま出題されることがありました。あくまで私の感覚値ではありますが、全体の2割くらいは同じ問題だったように記憶しています。そのため、必然的に2回目の模擬試験の結果はよくなります。本試験前に自信をつけるにはよいと思いますが、あまり2回目の模擬試験の点数を過信しすぎないほうがよさそうです。

本試験

本試験は、試験の予約時に選択したテストセンターを訪れ、試験ルーム内にあるPCを利用して受験することになります。受験時の注意点や持ち物は以下のページに記載されていますが、記載の通り身分証は2種類必要になります。もし忘れると受験できなくなるようなので、注意が必要です。
https://www.sans-japan.jp/giac/get_certified

本試験の難易度は、模擬試験の設問と同レベルのように感じました。上記の通り、模擬試験では回答後に正誤と解説が表示されるという違いはあるものの、回答形式は同様なので、やはり模擬試験を経験しておくと落ち着いて進められると思います。私の場合は資格試験に慣れていないことによる緊張もあってか、最初のほうの問題はなかなか落ち着いて回答できず焦ってしまいましたが、中盤以降は冷静さを取り戻しある程度自信を持って回答できるようになりました。

ちなみに、今回の受験では、オープンブックポリシーゆえの落とし穴（？）にはまり余計な時間を費やしてしまった、という反省もありました。設問のなかには、自信をもって選択肢を選べる問題もあったのですが、そのような問題でも手元のテキストの中に答えが載っていると思うと、どうしてもそれを確認して確証を得たくなってしまいます。私の場合は、試験の中盤でこのように無駄に正解を確認する作業を続けてしまった挙句、後半は制限時間ギリギリになってしまいました。また、試験ルームは静かなので、あんまりテキスト教材をペラペラめくっていると、他の受験者の邪魔になってしまったり、自身も周りへの影響が気になって集中を乱してしまいそうです。ある程度自信を持っている問題に関しては覚悟を決めて回答し、持ち込んだテキスト教材を参照するのは本当に分からない問題のみにしておいたほうがよいかと思います。

全ての問題を解き終わると、その場で合否が画面上に表示されます。（確か正解率も表示されたように記憶しています。）前半思うように回答できなかったり、後半は制限時間ギリギリになってしまったりと、かなりヒヤヒヤする試験展開でしたが、私も無事合格することができました。試験結果が画面上に表示されるだけなので、あまり合格した実感や感慨はわきませんでしたが、とにかくプレッシャーから解放された安堵感でいっぱいでした。もし不合格だった場合、再受験の費用もかなり高額なので…。

おわりに

ここまで、SANSのトレーニングプログラムである「SEC575」および GIAC「GMOB」試験 について私の体験記をお伝えしてまいりましたが、いかがでしたでしょうか？かなり高額なトレーニング・資格ではあるものの、私としては十分に元が取れる内容だったかなと感じています。AndroidやiOSが備えるセキュリティ機構に関する理解を深められたことに加えて、日々携わっているスマートフォンアプリの脆弱性診断業務にも役立つ数々のツールや観点にも触れることができました。

スマートフォンアプリの診断では、アプリから送信されている通信をProxyツールで確認したり、より詳細な検証を行うためにroot化・Jailbreakした端末を利用したりしますが、近年ではこれらを妨げる仕組みを持つアプリも増えており、思うように診断作業が進まないケースも発生しています。そんな事態に対処するための手法もこのトレーニング内ではいくつか紹介されているので、困ったときに試す選択肢を増やすこともできたように思います。

スマートフォンアプリの脆弱性診断を担当されている方やセキュリティについて知識を深めたい方は、ぜひ一度受講を検討してみてはいかがでしょうか？