この記事は、NFLaboratories Advent Calendar 2025 - Adventar 13日目の記事です。

• はじめに
• 本題：HTB CDSA 合格体験記
  • HTB CDSAとはどういった資格なのか
  • HTB CDSAの対象者
    • 筆者の知識
      • 攻撃面の知識
      • 防御面の知識
  • HTB CDSAの知識ドメイン
  • HTB CDSA受験資格を得るために受講必須モジュール群
  • HTB CDSA 試験について
    • 試験費用
    • 試験実施方法
    • 試験期間や再受験ポリシーなどについて
    • 試験のゴール
      • 公式のレポートテンプレートからから読み解けること
    • 試験準備
    • 試験所感
    • レポート提出後
• 全体を通した感想
• 今後について

はじめに

みなさまこんにちは、ソリューション事業部のセキュリティソリューション担当、リベロ沖田です。普段はエヌ・エフ・ラボラトリーズで、お客様から飛んでくるセキュリティまわりの様々なボールを拾っております。

ボール拾いまっせ、ということで、先日社内で実施した来年度のプロジェクト計画会議の場で、上司が私の役回りに「リベロ」とつけてくださってました。とても気に入っています。次の名刺にはぜひリベロと入れてもらおうと考えています。

リベロ（自由人）って、自由であることから逃げられない。 選ぶたびに責任が増えるし、周り（と自分）の期待値も勝手に上がる。

だから私は、定期的に“前の自分”を解体する。勉強は自己破壊という名の更新作業。足場を固めるつもりで手を動かしているのに、自分という足場が変わる。

books.bunshun.jp

自由であり続けるための足場は更新することでしか保てない。だから「鏡の国のアリス」に出てくる赤の女王みたいに、その場に留まるために走り続ける必要がある。走れば走るほど、足場はどんどん変形していく。

ja.wikipedia.org

そんな私は当時参画していたプロジェクトで高いアウトプットを出すには、モダンなブルーチームとしての基礎体力を、体系的に・短期間でキャッチアップすべきだと判断しました。

そして、いくつか候補を並べた末に、ショートゴールとして「Hack the Box が提供する HTB Certified Defensive Security Analyst（以降 HTB CDSA）合格」を置きました。約1.5か月ほど走って無事合格できたので、その合格体験記を残します。

当資格について日本語でまとまった情報は現時点では多くない印象なので、どなたかの学習設計やショートカットのヒントになれば嬉しいです。

academy.hackthebox.com

本題：HTB CDSA 合格体験記

※公式サイトなどから引用している英文の翻訳は基本ChatGPTにお願いしてます。

HTB CDSAとはどういった資格なのか

以下が公式のWebサイトの説明です。

HTB Certified Defensive Security Analyst（HTB CDSA）は、受験者のセキュリティ分析、SOC（Security Operation Center）運用、およびインシデントハンドリングのスキルを評価する、非常に実践的な認定資格です。 HTB Certified Defensive Security Analyst（HTB CDSA）認定の保持者は、セキュリティ分析、SOC運用、インシデントハンドリングの各分野において、中級レベルの技術的な能力を有していることを示します。 彼らは、利用可能なデータや証拠をただ眺めるだけでは直ちには明らかにならないセキュリティインシデントを見抜き、検知のためのさまざまなアプローチを特定することができます。 また、既成概念にとらわれない発想を持ち、関連性の乏しく見える複数のデータ／証拠を相関させ、インシデントの影響範囲を最大限まで明らかにするために、粘り強くピボットし続けることに優れています。 さらに、多様なステークホルダーを対象に、具体的な対策へとつなげられる実践的なセキュリティインシデントレポートを作成するスキルも備えています。

私はSOCで働いたことはありませんが、SESや情シス時代にログ分析等やインシデントハンドリングの実務経験があります。その自らの経験と照らし合わせて考えても、この公式の説明内容はHTB CDSAを概ね適切に表していると考えています。

HTB CDSAの対象者

以下が公式のWebサイトの説明です。

• Entry level Security Analysts
• Entry level SOC Analysts
• Entry level Incident Handlers
• Entry level Forensics Analysts
• Penetration Testers
• IT Administrators
• IT Security Personnel

筆者の知識

私はこの中だとIT AdministratorやPenetration Testersに含まれます。

攻撃面の知識

私は業務として内部ペネトレーションテストも行います。保持資格としてはOSEP、OSCP、CRTL、CRTO、CARTPなどを保持しているため、一般的なActive Directory環境に対する攻撃手法の知識は保持しておりました。

防御面の知識

Cyber Warfare Lab（以降CWL）の Purple Team Analyst v2 は、受講・合格済みです。 このトレーニングでは、一般的な攻撃アプローチが環境にどんな痕跡を残し、それがログとしてどう観測されるのかを学びます。あわせて、そのログの検出・分析まで扱います。 そのため、攻撃と防御をどう紐づけて捉えるか、という基礎的な考え方は既に押さえていました。 cyberwarfare.live

また、プロジェクト対応や自己学習の検証のために、Active Directory（AD）環境を構築した経験もありました。

後はすでに記載しましたが、SESや情シス時代にログ分析等やインシデントハンドリングの実務経験があります。

HTB CDSAの知識ドメイン

公式では以下説明があります。

HTB Certified Defensive Security Analyst（HTB CDSA）認定試験では、受験者の以下の分野における知識が評価されます。

• SOC Processes & Methodologies
• SIEM Operations (ELK/Splunk)
• Tactical Analytics
• Log Analysis
• Threat Hunting
• Active Directory Attack Analysis
• Network Traffic Analysis (Incl. IDS/IPS)
• Malware Analysis
• DFIR Operations

このドメインにおいて試験に必要な知識は後続に記載の受講必須モジュール群でカバーされます。

HTB CDSA受験資格を得るために受講必須モジュール群

公式説明は以下です。

HTB Certified Defensive Security Analyst（HTB CDSA）の受験資格を得るためには、受験者（候補者）はまず SOC Analyst のジョブロールパスを 100% 修了している必要があります。SOC Analyst のジョブロールパスには、理論学習とインタラクティブ演習が組み合わさっており、HTB CDSA 試験に向けた準備ができる内容になっています。

• Incident Handling Process
• Security Monitoring & SIEM Fundamentals
• Windows Event Logs & Finding Evil
• Introduction to Threat Hunting & Hunting With Elastic
• Understanding Log Sources & Investigating with Splunk
• Windows Attacks & Defense
• Intro to Network Traffic Analysis
• Intermediate Network Traffic Analysis
• Working with IDS/IPS
• Introduction to Malware Analysis
• JavaScript Deobfuscation
• YARA & Sigma for SOC Analysts
• Introduction to Digital Forensics
• Detecting Windows Attacks with Splunk
• Security Incident Reporting

各モジュールを受講する方法は大きく2つあります。

• 月額サブスク or 購入によってBox を取得してモジュールを１つずつアンロックする
• 年間サブスクに加入する

ここでは HTB Academy の受講方法そのものの説明は省きますが、私は HTB Academy をベータ版の頃から使っていて、昔からコツコツお布施（月額課金でBox取得）してきました。その結果、手持ちの Box で今回必要なモジュールはすべてアンロックできています。

そのため、これから0から始める場合の総費用は正確には分かりません。ただ、少なくともそれなりの投資は見込んでおいた方がよいと思います。

また、私は「未解放の状態から必要Box数を計算する方法」が分からず、正確な検証ができませんでした。参考までに、他の方のブログでは次のように説明されていました（※未検証なので、あくまで目安として見てください）。

CDSA の取得だけが目的であれば、認定は $316（Platinum サブスク 1か月 + Gold サブスク 1か月 + 試験バウチャー）で取得できます。

参考ブログ：HTB CDSA: From Zero to Hero | calculac0re.net

HTB CDSA 試験について

試験費用

費用は210ドルです。

試験実施方法

こちらも公式ドキュメントから引用します。

受験者は、HTB のインフラ上でホストされ、VPN 経由（Pwnbox または自身のローカル VM を使用）でアクセス可能な、複数の実世界かつ異種混在のネットワークを対象に、セキュリティ分析、SOC 運用、インシデント対応の活動を実施する必要があります。

試験プロセス開始時には、エンゲージメントレター（業務依頼書）が提供され、そこにエンゲージメントの詳細、要件、目的、スコープ（範囲）が明確に記載されています。

必要な活動を実施するために受験者に求められるのは、安定したインターネット接続と VPN ソフトウェアのみです。

HTB Certified Defensive Security Analyst は、セキュリティインシデントの分析と、インシデントを専門的にコミュニケーションすることの両方に重点を置いた、セキュリティアナリスト、SOC アナリスト、インシデント対応担当者にとって最も最新で実務適用性の高い認定資格です。

試験期間や再受験ポリシーなどについて

公式ページには以下記載があります。

提示されたレポートテンプレートに基づき、あらゆるセキュリティインシデントと、それに付随する／関連する証拠を専門的に文書化する必要があります。 試験に入室（ステップ3）してから、7日間のうちに試験ラボページへレポートをアップロードしなければなりません。 期限内にレポートをアップロードしなかった場合、試験バウチャーは失効し、再受験（2回目の受験機会）は提供されません。ご注意ください。

試験期間（7日間）のうち、私は 4日間は平日フルで働きながら進めました。週末の3連休と受験期間が重なるようにスケジュールした記憶です。 所感としては、平日に仕事をしながらでも十分合格を狙える分量だと思います。

一方で体感ですが、普段受けている OffSec 系の試験と比べると、レポート作成にかなり時間がかかりました。私の場合は完成まで 2〜3日見ておく必要がありました。

試験のゴール

公式のレポートテンプレートからから読み解けること

試験ではレポートを作成する必要がありますが、HTB CDSA用のレポートテンプレートにどういった試験が出るのかについてのヒントがあります。

以下公式ページの説明で

Create awesome HTB Academy certification reports using SysReptor

Github上に出力されたテンプレートレポートがあります。

github.com

CDSAのレポートテンプレートから「３章のExam Objectives」に以下記載があります。

HTB Certified Defensive Security Analyst（CDSA）認定資格を取得するには、以下を満たす必要があります。

インシデント 1 の調査で最低 85 点を獲得すること：

下記に挙げられた 20 個のフラグのうち、17 個を提出する必要があります。かつ両インシデント（インシデント 1・2）について商用レベルのセキュリティインシデントレポートを作成・提出すること： 各インシデントごとに Executive Summary（経営層向け要約） と Technical Analysis（技術分析） のセクションを含め、Security Incident Reporting モジュールで規定された書式と内容に厳密に従う必要があります。

• Impact Analysis（影響分析） と Response and Recovery Analysis（対応および復旧分析）（図表を含む）は省略可能ですが、両インシデントの Technical Analysis は例外的に徹底した内容である必要があります。
• サイバー・キルチェーンの各段階を必ず扱うこと。
• プロセスインジェクションに関する活動は、起点（origin）・宛先（destination）・犠牲プロセス（sacrificial process）だったかどうかといった観点を含め、徹底的に精査すること。
• 各検知事項は、関連するデータソース、SIEM クエリ、ツールコマンドを含めて、手順を追って（ステップ・バイ・ステップで）説明すること。

ここから読みとれるとおり

• 試験では２つのインシデント調査が対象となります。
• １つ目のインシデント調査とそのインシデントレポート作成、さらに17/20個のフラグを提出する必要があります。
• ２つ目はインシデント調査とそのインシデントレポート作成のみが求められます。

実際私の受験時は記載の通りではなく細かい部分に差異はありましたが、概ねこのような形式の試験内容でした。

試験準備

私は CWL の Purple Team Analyst v2 取得時点で、ELK や Splunk など SIEM の基本的な操作は習得済みでした。加えて、HTB Academy 内の受験用学習モジュールだけでも十分に準備できている手応えがあったため、受験に向けて追加のトレーニングは特に実施しませんでした。

ただ、他の方の合格体験記を読むと、Splunk の練習として以下のトレーニングを勧めている方も複数いました。

bots.splunk.com

私は登録だけして結局実施しなかったため内容についてコメントはできませんが、Splunk に不安がある方や、手を動かして慣れたい方には良い選択肢だと思います。私自身も、今後しばらくブルー系のトレーニングを続ける予定なので、近いうちに受講しようか検討しています。

また、SIEM に限らず、インシデントレスポンスで使う解析ツール（例：メモリフォレンジック、ログ解析など）についても同様で、受験のために別トレーニングを追加することはしませんでした。

もちろん私は前提知識がある分多少バイアスがあるとは思いますが、基本的には HTB Academy のモジュールを一通り押さえていれば合格できるように設計されている。そんな印象でした。

試験所感

試験は、ログを筋道立てて分析していかないと答えにたどり着けないように作られています。

ただし インシデント1 は、フラグ提出用の設問そのものがヒントになっているため、そこまで悩まず進められると思います。

一方で インシデント2 は、フラグ提出ではなく 分析とレポート作成が主眼、という立て付けです。つまり、ここは腰を据えて丁寧に分析する必要があります。

攻撃側も複数のテクニックを使用しているため、「プロセスツリーと時間だけ追えばOK」というほど単純ではありません。とはいえ、痕跡を一つずつ丁寧に追っていけば、最終的にはきちんと答えにたどり着けると思います。

レポート提出後

公式の説明は以下です。

HTB Academy の講師がまず、インシデント1の調査で最低点（必要ポイント）を獲得しているかを確認し、その後、提出されたレポートを綿密に評価します。レポートが所定の品質要件を満たしていれば、HTB Certified Defensive Security Analyst（HTB CDSA） 認定資格が付与されます。結果は 20 営業日以内（通常はそれより早い） に提示されます。

初回受験に不合格だった場合、HTB Academy の講師が不足している点を特定し、改善のための建設的なフィードバックを提供します。講師のフィードバックは試験ページの 「EXAM HISTORY」 タブで確認できます。

2回目のチャンスとして 無料のリテイク（再受験） が与えられます。得られたフィードバックを活用し、セキュリティインシデント分析を行って 新しいレポートを再提出 してください。リテイク開始から 7 日以内 に提出する必要があります。リテイク期間は 7 日間 で、その期間中は試験ラボに再びアクセスできます。

なお、初回受験に関する講師のフィードバックを受け取った時点から、リテイクを開始できる期限は 14 日間 です。この期間内に開始しない場合、試験バウチャーは失効します。

試験に合格すると、デジタル証明書を申請し、「EXAM HISTORY」 タブからダウンロードできます。

HTB Academy の認定資格には有効期限がありません。

結果通知が来たのは、たしかきっちり20営業日後くらいでした。フラグが1個だけどうしても通りませんでしたが合格点は超えており、インシデント2のほうも解析しきれていたので、不合格はないだろうと思っていました。

普段PMやPLをやるときに、メンバーのアウトプットに対して「お客様のために読みやすいレポートを書くべし」と指導に次ぐ指導をしている手前、HTBから「レポート良かったよ」と以下フィードバックをもらいつつ合格できたのは、面目も保てた気がしました。

The way you documented the detection activities was commendable and easy to follow. Your report was nicely structured as well. Well done!

検知活動の記録の仕方が素晴らしく、追いやすく分かりやすかったです。レポートの構成も整っていて良い出来でした。お見事です！

全体を通した感想

これからより高度な解析に進むための「基礎のお作法」を、体系立てて学べたのは本当に良かったです。 ただ、個人的にログ分析は嫌いじゃないけど、趣味ではないんだな、とも知れました。

とはいえ、攻撃とログ痕跡をどう紐づけて追うか、検知・分析までの基本の作法は確実に身についたと思います。今後はレッドチームやペネトレーションテストの場でも、よりブルー側に寄り添った提案として、「何がログに残り、どこで検知でき、どう改善できるか」という部分にさらに踏み込めるようになったと確信しています。

今後について

今はだいぶ赤寄りですが、来年は青の色味をさらに足していきたいと思っています。 SIEM運用やログ分析は学習ベースで基礎固めができてきたので、来年は マルウェア解析〜脅威ハンティング／脅威インテリジェンス 側を意図的に厚くします。

フォレンジック、マルウェア解析、脅威ハンティング、脅威インテリジェンスあたりは、それぞれショートゴールをセットアップ済みです。 赤側の分も入れると、気づけばだいたい3〜4年先くらいまで予定が決まってます。とはいえこれはもうずっとこんな感じで、プロジェクト都合で吹っ飛ばされたり、優先度が変わったりしながらではありますが……あれ？自由って何🫠？

このままめちゃんこ濃い紫色になって、攻撃から防御まで一気通貫で語れるようになり、今後もみなさまのご相談に親身に寄り添いながら、より多くのボールを拾い続けていきたいと思います。

もうクリスマスで、年の瀬です。今年も大変お世話になりました。 来年もセキュリティの相談ならお気軽に弊社まで。よろしくお願いします🙇