CEH(認定ホワイトハッカー)の難易度は?合格率と勉強時間の目安

セキュリティ分野で国際的に認知されているCEH(認定ホワイトハッカー)資格。取得を検討しているものの、「自分のスキルレベルで合格できるのか」「どのくらい勉強時間が必要なのか」と不安に感じていませんか。

この記事では、EC-Council公式データと実際の合格者の声をもとに、CEH試験の難易度、合格率、必要な勉強時間の目安をIT経験レベル別に解説します。中小企業のセキュリティ担当者が受験判断できる具体的な情報を提供しますので、ぜひ参考にしてください。

CEH(認定ホワイトハッカー)の難易度と合格率の実態

CEH資格の難易度を正確に把握するには、試験の基本情報と合格率データを理解することが重要です。ここでは公式データをもとに、CEHの実態を詳しく見ていきましょう。

CEH試験の基本情報と出題形式

CEH(Certified Ethical Hacker)は、EC-Councilが認定する国際的なセキュリティ資格です。試験は以下の形式で実施されます。

• 試験時間：4時間(240分)
• 問題数：125問の多肢選択式
• 合格ライン：正答率70%以上(125問中88問以上正解)
• 出題言語：英語(一部日本語試験も実施)
• 受験料：約1,199ドル(公式トレーニング受講者は割引あり)

試験は全20モジュールから出題され、倫理的ハッキングの基礎から高度な攻撃手法まで幅広い知識が問われます。単なる暗記では対応できず、実践的な理解が求められる点が特徴です。

公式発表の合格率データ

EC-Councilは正確な合格率を公式発表していませんが、業界関係者や受験者コミュニティの情報によると、CEH試験の合格率は60〜70%程度と推定されています。

これは他のIT資格と比較すると以下のような位置づけです。

• CompTIA Security+：合格率約85%(より初級向け)
• CISSP：合格率約50〜60%(CEHより難易度高)
• 情報処理安全確保支援士：合格率約20%(国家資格で最難関クラス)

CEHは「中級〜上級レベルのセキュリティ資格」として位置づけられており、適切な準備をすれば合格可能な難易度といえます。

他のセキュリティ資格との難易度比較

CEHと他の主要セキュリティ資格の難易度を比較すると、以下のような特徴があります。

CEHは実務経験3年程度のIT技術者が、体系的なセキュリティ知識を習得するのに適した資格といえます。

不合格になる主な原因3つ

CEH試験で不合格になる受験者には、以下のような共通点があります。

1. 実務経験の不足：理論だけでなく実際のツール操作や脆弱性診断の経験がないと、実践的な問題に対応できません。
2. 英語力の問題：技術用語の英語表記に慣れていないと、問題文の読解に時間がかかり時間切れになるケースがあります。
3. 実技対応力の欠如：Kali Linuxやペネトレーションテストツールの実機操作経験がないと、シナリオベースの問題で苦戦します。

これらの原因を踏まえた対策が、合格への近道となります。

IT経験レベル別:CEH合格に必要な勉強時間の目安

CEH合格に必要な勉強時間は、あなたのIT経験レベルによって大きく異なります。ここでは3つのレベル別に、現実的な学習時間の目安を提示します。

初心者(IT経験1〜3年)

必要な勉強時間：300〜400時間

IT業界での実務経験が浅い場合、ネットワークやOSの基礎知識から学び直す必要があるため、学習時間が長くなります。

• 学習内容：ネットワーク基礎、TCP/IP、Linux操作、セキュリティ基本概念
• 推奨学習期間：6〜9ヶ月(週10時間程度)
• 準備のポイント：CompTIA Network+やSecurity+の基礎資格から始めるのも有効

初心者の場合、いきなりCEHに挑戦するより、まず基礎資格を取得してからステップアップする方が効率的です。

中級者(IT経験3〜5年)

必要な勉強時間：150〜250時間

ネットワークやサーバー管理の実務経験がある場合、基礎知識はすでに身についているため、セキュリティ特有の技術に集中できます。

• 学習内容：脆弱性診断手法、攻撃ツールの使い方、暗号化技術、無線LANセキュリティ
• 推奨学習期間：3〜6ヶ月(週10〜15時間程度)
• 準備のポイント：実機環境での演習を中心に、公式教材を繰り返し学習

中級者は最も効率的にCEH取得を目指せるレベルです。業務と並行して無理なく学習できます。

上級者(セキュリティ実務経験あり)

必要な勉強時間：80〜120時間

すでにペネトレーションテストや脆弱性診断の実務経験がある場合、CEH試験範囲の多くを実践で習得済みです。

• 学習内容：試験範囲の確認、苦手分野の補強、模擬試験での実践
• 推奨学習期間：1〜3ヶ月(週10時間程度)
• 準備のポイント：公式模擬試験で弱点を特定し、集中的に対策

上級者は短期集中型の学習で、効率的に合格を狙えるでしょう。

勉強時間を短縮できる人の特徴

以下のような経験・スキルがある場合、学習時間を大幅に短縮できます。

• ペネトレーションテスト経験：実際の診断業務でツールを使った経験があれば、試験範囲の70%以上をカバーできます
• Linux運用経験：Kali LinuxやUbuntuでのコマンドライン操作に慣れていれば、実技問題で有利です
• セキュリティインシデント対応経験：攻撃の仕組みを理解していれば、防御手法の学習がスムーズです
• 英語力：技術文書を英語で読むことに抵抗がなければ、問題文の理解が早くなります

これらの経験があれば、中級者でも100時間程度の学習で合格を目指せる可能性があります。

CEH試験の難易度が高い3つの理由

CEH試験が他のIT資格より難しいと感じる受験者が多いのは、以下の3つの理由があるためです。それぞれ詳しく見ていきましょう。

①実践的なハッキング技術の理解が必須

CEH試験では、倫理的ハッキングの実践的な知識が問われます。単なる理論の暗記では対応できず、実際のツール操作や脆弱性診断の流れを理解していないと解けない問題が多く出題されます。

具体的には以下のようなツールの使い方や目的を理解する必要があります。

• Nmap：ネットワークスキャンツール
• Metasploit：エクスプロイトフレームワーク
• Wireshark：パケット解析ツール
• John the Ripper：パスワードクラッキングツール
• SQLmap：SQLインジェクション診断ツール

これらのツールを実機環境で触ったことがないと、「どの場面でどのツールを使うべきか」という実践的な判断問題に対応できません。

②英語での出題と専門用語

CEH試験は基本的に英語で出題されます(日本語版もありますが、翻訳の質にばらつきがあります)。英語自体の難易度は高くありませんが、セキュリティ特有の専門用語が多用されるため、技術英語に慣れていないと苦戦します。

例えば、以下のような用語が頻出します。

• Footprinting：情報収集
• Enumeration：列挙攻撃
• Privilege Escalation：権限昇格
• Social Engineering：ソーシャルエンジニアリング
• Denial of Service：サービス拒否攻撃

これらの用語を日本語と英語の両方で理解しておく必要があります。また、シナリオ問題では長文を読み解く必要があるため、技術英語の読解力も求められます。

③広範な知識領域のカバー

CEH試験は全20モジュールから出題され、セキュリティの幅広い領域をカバーする必要があります。主な出題範囲は以下の通りです。

1. 情報セキュリティの基礎
2. フットプリンティングと偵察
3. スキャニングネットワーク
4. 列挙
5. 脆弱性分析
6. システムハッキング
7. マルウェアの脅威
8. スニッフィング
9. ソーシャルエンジニアリング
10. サービス拒否攻撃
11. セッションハイジャック
12. Webサーバーへの攻撃
13. Webアプリケーションへの攻撃
14. SQLインジェクション
15. 無線ネットワークへの攻撃
16. モバイルプラットフォームへの攻撃
17. IoTへの攻撃
18. クラウドコンピューティングへの攻撃
19. 暗号技術
20. 侵入検知システム、ファイアウォール、ハニーポット

これだけ広範囲な内容を網羅的に学習する必要があるため、計画的な学習スケジュールが不可欠です。

中小企業担当者が特につまずくポイント

中小企業のセキュリティ担当者がCEH学習で苦戦するのは、実機演習環境の不足です。大企業ではペネトレーションテストの実務機会がありますが、中小企業では以下のような課題があります。

• 社内に脆弱性診断を試せる環境がない
• セキュリティツールを導入する予算がない
• 実務でペネトレーションテストを行う機会がない
• メンター不在で独学せざるを得ない

このような場合、無料の学習プラットフォームを活用することで、実機演習の不足を補うことができます。例えば、HackTheBoxやTryHackMeなどのオンライン演習環境を利用すれば、自宅でも実践的なスキルを磨けます。

CEH合格のための効率的な勉強方法と対策

CEH試験に効率的に合格するには、自分の学習スタイルと予算に合った対策方法を選ぶことが重要です。ここでは実践的な勉強方法を紹介します。

公式トレーニングと独学の選び方

CEH学習には、公式トレーニングコースと独学の2つの選択肢があります。それぞれのメリット・デメリットを比較してみましょう。

中小企業の場合、独学でも十分合格可能です。市販の参考書やオンライン教材を活用すれば、コストを抑えながら効果的に学習できます。

ただし、独学の場合は以下の点に注意が必要です。

• 自分で学習計画を立てる必要がある
• 疑問点をすぐに解決できない場合がある
• モチベーション維持が課題になる

これらの課題は、オンラインコミュニティやSNSでの情報交換でカバーできます。

実機環境での実習の重要性

CEH試験では、実際のツール操作や攻撃手法の理解が不可欠です。座学だけでは対応できないため、実機環境での演習が重要になります。

実機環境を構築する方法としては、以下があります。

• Kali Linuxの仮想環境構築：VirtualBoxやVMwareで無料で構築可能
• HackTheBox：実践的なペネトレーションテスト演習ができるプラットフォーム
• TryHackMe：初心者向けのガイド付き演習環境
• Metasploitable：意図的に脆弱性を持たせた練習用OS

これらの環境を使って、週に5〜10時間程度実機演習を行うことで、試験での実践的な問題に対応できる力が身につきます。

過去問題集と模擬試験の活用法

CEH試験対策では、模擬試験の活用が非常に有効です。EC-Council公式の模擬試験に加えて、以下のような教材を使うと良いでしょう。

• EC-Council公式Practice Exam：試験形式に最も近い模擬試験
• Boson ExSim-Max：詳細な解説付きの模擬試験
• Udemy CEH模擬試験：低価格で複数回受験できる

模擬試験は以下のように活用すると効果的です。

1. 試験2ヶ月前：1回目の模擬試験で弱点分野を特定
2. 試験1ヶ月前：弱点分野を集中学習後、2回目の模擬試験
3. 試験1週間前：総仕上げとして3回目の模擬試験

模擬試験で80%以上のスコアを安定して取れるようになれば、本番でも合格ラインを超えられる可能性が高いです。

不合格時の再受験戦略

もし不合格になってしまった場合も、落ち込む必要はありません。適切な振り返りを行えば、次回の合格確率は大きく上がります。

再受験時のポイントは以下の通りです。

• 試験直後にメモを取る：覚えている範囲で苦手だった分野を記録
• スコアレポートを分析：どのモジュールの正答率が低かったか確認
• 弱点分野に絞った学習：全範囲を再学習せず、苦手分野に集中
• 実機演習を増やす：特に実践的な問題での失点が多い場合

EC-Councilの規定では、再受験は試験日から14日後に可能です。ただし、焦らず1〜2ヶ月かけて弱点を克服してから再挑戦する方が、合格確率は高まります。

まとめ

この記事では、CEH試験の難易度、合格率、効果的な勉強方法について解説しました。重要なポイントは以下の3つです。

• CEHの合格率は60〜70%程度で、適切な準備をすれば合格可能：中級者であれば150〜250時間の学習で合格を目指せます
• 実機環境での演習が合格の鍵：Kali LinuxやHackTheBoxなどを活用し、実践的なスキルを磨くことが重要です
• 独学でも十分合格できる：公式トレーニングは高額ですが、市販教材とオンライン演習環境を使えば、コストを抑えて効率的に学習できます

CEH資格は、中小企業のセキュリティ担当者にとって、体系的なセキュリティ知識を習得する良い機会です。ただし、資格取得自体が目的ではなく、実務でのセキュリティレベル向上につなげることが最も重要です。

まずは自分のIT経験レベルを見極め、無理のない学習計画を立てることから始めてみてください。実機環境での演習を継続的に行えば、CEH合格だけでなく、実践的なセキュリティスキルも確実に身につきます。