問題
ペネトレーションテストに該当するものはどれか。
選択肢
- 1検査対象の実行プログラムの設計書、ソースコードに着目し、開発プロセスの各工程にセキュリティ上の問題がないかどうかをツールや目視で確認する。
- 2公開 Web サーバの各コンテンツファイルのハッシュ値を管理し、定期的に各ファイルから生成したハッシュ値と一致するかどうかを確認する。
- 3公開 Web サーバや組織のネットワークの脆弱性を探索し、サーバに実際に侵入できるかどうかを確認する。
- 4内部ネットワークのサーバやネットワーク機器の IPFIX 情報から、各 PC の通信に異常な振る舞いがないかどうかを確認する。
正解
3. 公開 Web サーバや組織のネットワークの脆弱性を探索し、サーバに実際に侵入できるかどうかを確認する。
詳しい解説を見る解説を閉じる
解説
ペネトレーションテスト(侵入テスト)は、攻撃者の視点でシステムやネットワークの脆弱性を探索し、実際に侵入できるかどうかを試して安全性を検証する手法である。よってウが正解。アはソースコードレビューやセキュアコーディング検査、イは Web サーバの改ざん検知、エは IPFIX(フロー情報)を用いた通信の異常検知の説明であり、いずれも実際の侵入を試すペネトレーションテストとは異なる。(出典: 令和6年度 基本情報技術者試験 科目A 問9)
一問一答
科目A 180問+科目B 60問