応用情報技術者 2015年 秋期 午前2 問45
問題文
ペネトレーションテストの目的はどれか。
選択肢
ア:暗号化で使用している暗号方式と鍵長が、設計仕様と一致することを確認する。
イ:対象プログラムの入力に対する出力結果が、出力仕様と一致することを確認する。
ウ:ファイアウォールが単位時間当たりに処理できるセッション数を確認する。
エ:ファイアウォールや公開サーバに対して侵入できないかどうかを確認する。(正解)
ペネトレーションテストの目的【午前2 解説】
要点まとめ
- 結論:ペネトレーションテストは、システムの脆弱性を実際に攻撃して侵入可能かを検証することが目的です。
- 根拠:ファイアウォールや公開サーバに対して攻撃を試み、セキュリティ上の弱点を発見する手法だからです。
- 差がつくポイント:単なる仕様確認や性能評価ではなく、実際の攻撃を模倣して防御の実効性を検証する点が重要です。
正解の理由
選択肢エは、ペネトレーションテストの本質である「攻撃者の視点でシステムの防御を突破できるかを確認する」ことを正確に表しています。ファイアウォールや公開サーバに対して侵入できるかどうかを検証することで、実際の攻撃リスクを評価し、対策強化に役立てます。
よくある誤解
ペネトレーションテストは単なる動作確認や性能測定ではありません。暗号方式の確認や出力仕様の検証は別のテスト工程で行います。
解法ステップ
- 問題文の「ペネトレーションテストの目的」に注目する。
- ペネトレーションテストは「攻撃を模倣するテスト」であることを思い出す。
- 選択肢を「攻撃的検証かどうか」で分類する。
- 攻撃的検証を示す選択肢エを選ぶ。
- 他の選択肢は仕様確認や性能評価なので除外する。
選択肢別の誤答解説
- ア: 暗号方式や鍵長の確認は設計仕様の検証であり、ペネトレーションテストの目的ではありません。
- イ: 入力と出力の仕様一致確認は機能テストの範囲で、攻撃を試みるペネトレーションテストとは異なります。
- ウ: ファイアウォールの処理能力確認は性能テストであり、セキュリティの侵入検証とは目的が異なります。
- エ: ファイアウォールや公開サーバに対して侵入できるかを確認することが、ペネトレーションテストの目的に合致します。
補足コラム
ペネトレーションテストは「侵入テスト」とも呼ばれ、実際の攻撃手法を用いてシステムの脆弱性を発見します。これにより、単なる脆弱性診断よりも実践的なセキュリティ評価が可能です。テスト結果はセキュリティ強化やリスク管理に活用されます。
FAQ
Q: ペネトレーションテストと脆弱性診断の違いは何ですか?
A: 脆弱性診断は脆弱性の検出に重点を置き、ペネトレーションテストは実際に攻撃を試みて侵入可能かを検証します。
A: 脆弱性診断は脆弱性の検出に重点を置き、ペネトレーションテストは実際に攻撃を試みて侵入可能かを検証します。
Q: ペネトレーションテストはどのような対象に実施しますか?
A: 主にファイアウォール、公開サーバ、ネットワーク機器、Webアプリケーションなどのセキュリティが重要なシステムに実施します。
A: 主にファイアウォール、公開サーバ、ネットワーク機器、Webアプリケーションなどのセキュリティが重要なシステムに実施します。
関連キーワード: ペネトレーションテスト、侵入テスト、セキュリティ評価、ファイアウォール、脆弱性検査
\ せっかくなら /
応用情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!