問題
問73
インターネット経由で行うペネトレーションテストで見つけられる脆弱性の例として、適切なものはどれか。
- 外部ネットワークから公開サーバへの不正侵入口
- 記録媒体による機密情報の持出し
- 社内のネットワークに接続しようとするPCのウイルス感染
- セキュリティで保護された部屋への不正な入室経路
[出典:ITパスポート試験 平成28年度秋期 問73]
正解
正解は「ア」です。
解説
ペネトレーションテストとは、実際の攻撃者が行うような手法を用いて、システムやネットワークのセキュリティ上の弱点(脆弱性)を突き止め、侵入が可能かどうかを検証するテストのことです。特に「インターネット経由で行う」という点が重要です。これは、外部のネットワークから、公開されているサーバ(ウェブサイトのサーバなど)に対して、不正に侵入できる箇所がないかを探すことを意味します。
例えば、ウェブサイトの裏口に鍵がかかっていないか、あるいは非常に簡単な鍵がかかっていて破ることができるか、といったことを外部から試すイメージです。したがって、「外部ネットワークから公開サーバへの不正侵入口」は、まさにペネトレーションテストで発見される脆弱性の典型的な例と言えます。
イ(記録媒体による機密情報の持出し):
これは、USBメモリなどの記録媒体を使って機密情報が持ち出される、という物理的または内部のセキュリティに関する問題です。インターネット経由で行うペネトレーションテストでは、このような物理的な情報漏洩は直接検出できません。
ウ(社内ネットワークに接続しようとするPCのウイルス感染):
これは社内ネットワークに接続するPCのウイルス対策やエンドポイントセキュリティの問題です。ペネトレーションテストは、システムやネットワークの脆弱性を利用した外部からの侵入経路を発見することが主な目的であり、個々のPCがウイルスに感染しやすいかどうかを直接テストするものではありません。
エ(セキュリティで保護された部屋への不正な入室経路):
これは、建物の出入り口や部屋の施錠状況など、物理的なセキュリティに関する脆弱性です。インターネット経由のペネトレーションテストは、コンピュータシステムやネットワーク上の弱点を探すものであり、物理的な侵入経路を検証するものではありません。
難易度
この問題の難易度は中程度です。ペネトレーションテストの基本的な目的と、それがどのような範囲を対象としているかを理解していれば、正解を導き出すことは比較的容易です。特に「インターネット経由で行う」という条件から、物理的なセキュリティや内部の運用に関する選択肢を除外できるかがポイントとなります。セキュリティ対策の基礎知識があれば、スムーズに解答できるでしょう。
用語補足
ペネトレーションテスト:
実際にシステムやネットワークに攻撃を試みて、脆弱性(弱点)がないかを確認するテストのことです。例えるなら、泥棒役を雇って自宅に侵入できるか試してもらうようなものです。
脆弱性:
システムやソフトウェア、ネットワークなどが持っている、セキュリティ上の弱点のことです。この弱点があると、悪意のある攻撃者に利用されて情報漏洩やシステム破壊などの被害を受ける可能性があります。例えば、鍵がかかっていない窓のようなものです。
公開サーバ:
インターネット上に公開され、誰でもアクセスできる状態になっているサーバのことです。ウェブサイトのデータやメールサービスなどがこれにあたります。例として、企業のホームページを公開しているサーバーが挙げられます。
機密情報:
外部に漏洩すると企業や個人に損害を与える可能性のある、秘密性の高い情報のことです。顧客データや製品の設計情報などが該当します。会社の極秘プロジェクトの資料などがこれにあたります。
対策
この問題を解くには、ペネトレーションテストの目的と範囲を正確に理解することが重要です。ペネトレーションテストは「外部からの攻撃者の視点」で「システムやネットワークの技術的な脆弱性」を検証するものです。したがって、物理的なセキュリティや内部管理、個々のデバイスのウイルス対策といった範囲外の選択肢は誤りとなります。ITパスポート試験では、様々なセキュリティ対策手法の目的と対象範囲を把握しておくことが重要ですので、それぞれの定義をしっかりと学習しましょう。
