※本ブログは、2022年10月時点、旧バージョンeJPTv1に関する内容となります。

eJPTについて

eJPTはeLearnSecurity Junior Penetration Testerの略称で、ペネトレーションテストを実践的に行うスキルがあることを証明する初級者向けの民間資格です。
ハッキングに興味があるが、どこからスタートしたらいいか分からない、今後実務としてペネトレーションテスト業務に携わりたいと考えている等、ハッキングの基本的なスキルを学びたい人におすすめしたい資格です。
実際にトレーニングコースを受講をしてみて、ペネトレーションテスト手法を体験的に触れることでスキルアップすることができ、実務にも役立つ内容が豊富なため大変魅力的な資格だと感じたため、ご紹介をさせて頂きます。

受講前の準備

まずは受験をするためにバウチャーと呼ばれる受験用チケットを購入することになりますが、トレーニングコースではLinux上でのCUIでのコマンド操作が頻繁に登場します。
そのためコマンド操作に慣れていない方はまずはLinux上でのコマンド操作に慣れてからバウチャーを購入したほうがよいでしょう。Linuxの資格LPIC-1程度のコマンド操作ができれば問題ありません。

現在はeJPTv1からeJPTv2にバージョンアップされたので、eJPTv2のみバウチャー購入できます。価格は、eJPTv1では$200でしたがeJPTv2では$249(バウチャー+3か月分のFundamentalsサブスクセットでの購入)となりました。
バウチャーには有効期限があるので注意しましょう。
※eJPTv1,v2共に、基本的に購入から180日後に有効期限切れとなります。

トレーニングコース受講

以下のサイトからサインアップを行い、トレーニングコースを受講しました。
INE: https://my.ine.com

2022年10月時点で以下のコースはすべて無料で受講することができましたが、2023年3月時点では404エラーが表示され、アクセスできないようになっていました。
すでにeJPTv1関連のトレーニングコースは廃止されており、有料サブスクリプション「Fundamentals subscription」への申し込みすることで、eJPTv2対応のトレーニングコースを受講可能となっています。
INEによるとeJPTv2を受験するにあたり、トレーニングコース一式「Penetration Testing Student v2 learning path」に従って学習を進めることを推奨しています。

• eJPT Exam Preparation
  主にeJPTを受験するにあたって事前に知っておくべきこと（チュートリアルや受験するにあたって試験環境への接続方法等）の内容が含まれています。
• Penetration Testing Basics
  ネットワークスキャン、サービススキャン、エクスプロイテーション等ペネトレーションテストに必要な基本的な内容が含まれています。いくつかの演習用環境が用意されており、ブラウザから演習用環境へワンクリックでアクセスでき、攻撃用マシンの環境構築することなく、すぐにトレーニングを開始することができるようになっています。後半、3つの演習用ペネトレーションテスト環境が用意されており、トレーニングで得た知識・スキルを使って演習用サーバへの侵入を行います。演習問題については、途中で行き詰まったとしても、すべての攻略手順が詳細に説明されていますので安心して取り組むことができます。
• Penetration Testing: Preliminary Skills & Programming
  C++, Python, Bashの基礎的なプログラミング、Windowsコマンドの使用方法を学びます。
• Penetration Testing Prerequisites
  WiresharkやBurpSuite等のツールを使用し、パケット解析、ウェブアプリケーション診断を体験することができます。またペネトレーションテストの概要についても言及されていました。

eJPTv1試験概要

eJPTv2と異なる点は、以下の表の通りです。

	v1	v2
試験時間	3日間	2日間
問題形式	20問多肢選択式	35問多肢選択式
合格ライン	正答率75％以上	総合正答率70％以上かつ各セクションにおいてボーダースコアを超えていること
証明書の有効期限	なし	取得から３年間

eLearnSecurityのメンバーサイトにログイン後、試験開始ボタンをクリックするとすぐに試験開始となります。開始と同時にVPNファイルがダウンロードできるようになるので、試験環境にVPN接続します。
また試験概要のPDF、ハッシュクラック用の辞書ファイル等が与えられます。

試験中に万が一試験環境の挙動がおかしくなった場合には、試験環境をリセットすることができます。（ただし一日にリセットできる上限回数が決まっています。）

回答送信後、正解、不正解の数が表示され、その場で結果表示されます。どの問題が正解・不正解であったとかいう情報までは表示されませんでした。
v1では、個別に用意した攻撃環境に以下のツールをインストール・セットアップを行いました。

• Burp Suite
• Nessus
• Metasploit
• Nmap
• Hydra

しかしv2からは試験環境内に攻撃用マシンとしてブラウザベースのKali Linuxが用意されており、個別にペネトレーションテスト用の環境を準備しておく必要はなくなりました。
問題の回答に必要なツールすべてはインストール済みの状態になっています。

v1の合格ラインが総合正答率が75%で合格であったのに対して、v2はセクションごとにクリアすべき最小スコアがあり、例え総合スコアが70%以上でも合格条件を満たせなくなるリスクがあるということに注意してください。
例えばセクション「Assessment Methodologies」では90%以上、「Web Application Penetration Testing」では60%以上をスコアしなければならなくなり、v2では難易度を上げている印象です。

合格後はPDF形式の証明書が与えられます。eJPTv1では証明書の有効期限はありませんでしたが、v2は取得から３年間となっています。
INE、INE/eLearnSecurityの共同ブランドとなる資格については、証明書に有効期限があることに注意してください。

最後に

eJPTは初級者向けの資格ではありますが、トレーニングを通して実践的なペネトレーションテストに基本的なスキルを身につけることができるとても価値のある資格だと感じました。
ハッキング、ペネトレーションテストの世界に一歩を足を踏み入れてみたい方は、ぜひ一度チェックしてみてください。

参考リンク

• eJPTv2の詳細な情報 https://ine.com/blog/ejptv2-certification-is-here
• eJPTv2の申込み https://ine.com/learning/certifications/internal/elearnsecurity-junior-penetration-tester-v2
• eLearnSecurityのメンバーサイト https://members.elearnsecurity.com/signin