問題
問9
ペネトレーションテストに該当するものはどれか。
- 検査対象の実行プログラムの設計書,ソースコードに着目し,開発プロセスの各工程にセキュリティ上の問題がないかどうかをツールや目視で確認する。
- 公開Webサーバの各コンテンツファイルのハッシュ値を管理し,定期的に各ファイルから生成したハッシュ値と一致するかどうかを確認する。
- 公開Webサーバや組織のネットワークの脆弱性を探索し,サーバに実際に侵入できるかどうかを確認する。
- 内部ネットワークのサーバやネットワーク機器のIPFIX情報から,各PCの通信に異常な振る舞いがないかどうかを確認する。
[出典:基本情報技術者試験 令和6年度(科目A) 問9]
スポンサーリンク
正解
正解は「ウ」です。
解説
ペネトレーションテスト(Penetration Test)とは、システムやネットワークに対して実際に攻撃を試みることで、セキュリティ上の弱点(脆弱性)を発見するテストのことです。いわば「実践的なセキュリティ診断」です。
正解の選択肢ウでは、「公開Webサーバやネットワークの脆弱性を探索し、サーバに実際に侵入できるかどうかを確認する」とあり、これは典型的なペネトレーションテストの説明です。攻撃者が使う手法を模倣して、実際に攻撃を試みることで、防御の不備を洗い出すというものです。
たとえば、外部からの侵入者がSQLインジェクションや脆弱なポートを通じて不正アクセスをすることを想定し、実際に侵入できるかどうかを検証することで、セキュリティの穴を特定します。これはホワイトハッカー(善意の攻撃者)が行う「攻撃者の視点に立った防御テスト」と言えます。
他の選択肢はセキュリティ対策や監査に関連しますが、実際に侵入を試みる「攻撃型」のテストではないため、ペネトレーションテストとは異なります。
- ア(設計書やソースコードに着目して確認):
これは「セキュリティレビュー」または「脆弱性診断」に該当します。ソースコードや設計段階での脆弱性をチェックする静的な手法です。 - イ(ハッシュ値を照合して改ざんを確認):
これは「改ざん検知」や「整合性チェック」の手法です。実際の攻撃を試みるものではありません。 - エ(IPFIX情報から異常検知):
これは「ネットワーク監視」や「振る舞い検知型IDS(侵入検知システム)」に近い手法であり、ペネトレーションテストではありません。
難易度
この問題は「ペネトレーションテスト」という用語の意味を正確に知っていれば確実に得点できます。ただし、他の選択肢もセキュリティ対策として実際に使われる手法なので、言葉の違いだけでなくアプローチ方法の違い(攻撃型/監視型など)を理解しておくことが重要です。難易度は「やや易しい〜普通」レベルです。
スポンサーリンク
用語補足
ペネトレーションテスト:
実際に攻撃を仕掛けることで脆弱性を検出する手法。攻撃者の手口を模倣して、防御の穴を明らかにする実践的な診断方法です。
ハッシュ値:
ファイルの内容を要約した固定長の値で、改ざんチェックなどに使われます。内容が少しでも変わると値が大きく変化します。
IPFIX:
ネットワークのフロー情報(どの端末がどの宛先と通信しているかなど)を収集するための標準仕様で、ネットワーク監視や異常検知に使われます。
対策
セキュリティ対策に関する代表的な手法(ペネトレーションテスト、脆弱性診断、監視、改ざん検知など)をそれぞれの目的と特徴で分類して理解しておくことが重要です。実践的な攻撃手法と、静的な診断手法の違いに注目し、出題パターンに慣れておくと確実に得点できます。
