応用情報技術者 2014年 春期 午前2 問42
問題文
ペネトレーションテストの目的はどれか。
選択肢
ア:暗号化で使用している暗号方式と鍵長が、設計仕様と一致することを確認する。
イ:対象プログラムの入力に対する出力結果が、出力仕様と一致することを確認する。
ウ:ファイアウォールが単位時間当たりに処理できるセッション数を確認する。
エ:ファイアウォールや公開サーバに対して侵入できないことを確認する。(正解)
ペネトレーションテストの目的【午前2 解説】
要点まとめ
- 結論:ペネトレーションテストは、ファイアウォールや公開サーバに対して実際に侵入を試み、脆弱性を発見することが目的です。
- 根拠:単なる仕様確認や性能評価ではなく、攻撃者の視点でシステムの防御力を検証するための実践的なテスト手法だからです。
- 差がつくポイント:ペネトレーションテストは「侵入できないことを確認する」ことに重点があり、暗号方式の確認や出力結果の検証とは異なる点を理解しましょう。
正解の理由
選択肢エは「ファイアウォールや公開サーバに対して侵入できないことを確認する」とあり、これはペネトレーションテストの本質を正確に表しています。ペネトレーションテストは、実際に攻撃を模倣してシステムの脆弱性を探し、防御の強度を評価するための手法です。したがって、侵入の可否を確認することが目的となります。
よくある誤解
ペネトレーションテストは単なる動作確認や性能評価ではありません。暗号方式の検証や出力結果の一致確認は別のテスト工程で行います。
解法ステップ
- 問題文の「ペネトレーションテストの目的」に注目する。
- 各選択肢の内容が「侵入試験」かどうかを判断する。
- 暗号方式や出力結果の確認はペネトレーションテストの範囲外と理解する。
- ファイアウォールや公開サーバに対する侵入試験を示す選択肢を選ぶ。
- 選択肢エが該当するため、これを正解とする。
選択肢別の誤答解説
- ア: 暗号方式や鍵長の確認は暗号評価や設計レビューの範囲であり、ペネトレーションテストの目的ではありません。
- イ: 入力と出力の仕様一致確認は機能テストの一種で、セキュリティ侵入試験とは異なります。
- ウ: ファイアウォールの処理能力確認は性能テストであり、侵入試験とは目的が異なります。
- エ: ファイアウォールや公開サーバに対して侵入できないことを確認する点がペネトレーションテストの本質です。
補足コラム
ペネトレーションテストは「侵入テスト」とも呼ばれ、実際の攻撃者の手法を模倣してシステムの弱点を発見します。これにより、未然にセキュリティ対策を強化できるため、組織の情報資産保護に不可欠な工程です。
FAQ
Q: ペネトレーションテストと脆弱性診断の違いは何ですか?
A: 脆弱性診断はシステムの弱点を自動的に検出することが多いのに対し、ペネトレーションテストは実際に攻撃を試みて侵入可能かを検証します。
A: 脆弱性診断はシステムの弱点を自動的に検出することが多いのに対し、ペネトレーションテストは実際に攻撃を試みて侵入可能かを検証します。
Q: ペネトレーションテストはどのタイミングで実施すべきですか?
A: システム導入前や定期的なセキュリティ評価の一環として実施し、脆弱性の早期発見と対策に役立てます。
A: システム導入前や定期的なセキュリティ評価の一環として実施し、脆弱性の早期発見と対策に役立てます。
関連キーワード: ペネトレーションテスト、侵入試験、セキュリティ評価、ファイアウォール、脆弱性検査
\ せっかくなら /
応用情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!