問題
問93
次のうち、「ペネトレーションテスト(侵入テスト)」の目的として最も適切なものはどれか。
- 利用者の満足度を測定する
- ネットワーク速度を確認する
- セキュリティポリシーの整合性を検証する
- 外部からの攻撃による脆弱性の有無を調べる
正解
正解は「エ」です。
解説
ペネトレーションテスト(侵入テスト)とは、外部の攻撃者が実際にサイバー攻撃を行うことを想定し、システムに対して擬似的に攻撃を試みることで、セキュリティ上の脆弱性が存在するかどうかを調べるテストのことです。正解は「エ:外部からの攻撃による脆弱性の有無を調べる」です。 このテストの目的は、セキュリティの強化です。
例えば、家の鍵がちゃんと閉まっているかを確認するのではなく、実際に泥棒になったつもりで侵入できるか試してみるようなものです。そうすることで、「見落としていた窓が開いていた」などの盲点を発見できます。企業の情報システムも同様に、内部では気づかないセキュリティホールを、外部からの視点で発見することが重要です。
このテストは専門のセキュリティ業者やホワイトハッカーが実施することが多く、ネットワーク、アプリケーション、OSなどあらゆる面から攻撃手法を用いてチェックします。そして、実際に脆弱性が見つかった場合は、改善策を講じることができます。 したがって、ペネトレーションテストは単なる形式的な確認作業ではなく、実践的な攻撃を通してセキュリティ体制を検証する、非常に実用的な手法なのです。
- ア(利用者の満足度を測定する):
この内容は「ユーザビリティテスト」や「アンケート調査」などの目的であり、ペネトレーションテストとは全く関係ありません。 - イ(ネットワーク速度を確認する):
ネットワーク速度を確認するのは「ベンチマークテスト」や「パフォーマンステスト」の範囲であり、ペネトレーションテストの目的とは異なります。 - ウ(セキュリティポリシーの整合性を検証する):
セキュリティポリシーの整合性確認は「監査」や「レビュー」の対象であり、実際の攻撃を模したテストとは性質が異なります。
難易度
この問題の難易度は「やや易しい」と言えます。なぜなら、「ペネトレーションテスト」という用語を知っていればすぐに正解が分かる内容だからです。一方で、IT初心者にとっては用語がカタカナで馴染みがないため、やや戸惑う可能性もあります。しかし選択肢を見比べれば消去法でも正解にたどり着けます。
用語補足
ペネトレーションテスト:
システムに対して疑似的に攻撃を試みることで、セキュリティ上の脆弱性を見つけ出すテストです。実際の攻撃者の視点で脆弱性を確認できる点が特徴です。
脆弱性:
セキュリティ上の「穴」や「弱点」のことです。例えば、古い鍵を使っているドアは、ピッキングされやすいという脆弱性があるように、システムにも同様の欠陥があることがあります。
セキュリティポリシー:
組織が情報セキュリティを確保するために定める基本方針やルールです。例えば、「USBメモリの使用を禁止する」といった規定もポリシーの一部です。
対策
この問題を確実に解くためには、セキュリティ関連のテスト手法や用語(ペネトレーションテスト、脆弱性、ポリシーなど)を一通り理解しておくことが大切です。特に、用語の意味と具体的な目的の組み合わせを理解することが重要です。過去問や用語集で反復練習すると効果的です。