応用情報技術者 2016年 秋期 午前2 問45
問題文
脆弱性検査手法の一つであるファジングはどれか。
選択肢
ア:既知の脆弱性に対するシステムの対応状況に注目し、 システムに導入されているソフトウェアのバージョン及びパッチの適用状況の検査を行う。
イ:ソフトウェアのデータの入出力に注目し、問題を引き起こしそうなデータを大量に多様なパターンで入力して挙動を観察し、 脆弱性を見つける。(正解)
ウ:ソフトウェアの内部構造に注目し、 ソースコードの構文を機械的にチェックするホワイトボックス検査を行うことによって脆弱性を見つける。
エ:ベンダや情報セキュリティ関連機関が提供するセキュリティアドバイザリなどの最新のセキュリティ情報に注目し、 ソフトウェアの脆弱性の検査を行う。
脆弱性検査手法の一つであるファジングはどれか【午前2 解説】
要点まとめ
- 結論:ファジングは大量かつ多様なデータをソフトウェアに入力し、異常挙動を観察して脆弱性を発見する手法です。
- 根拠:ファジングはブラックボックステストの一種で、ソフトウェアの入出力に注目し、未知の問題を引き起こすデータを自動生成して検査します。
- 差がつくポイント:ファジングはソースコード解析や既知脆弱性の情報収集とは異なり、実際の動作環境での異常検出に特化している点を理解しましょう。
正解の理由
選択肢イは「ソフトウェアのデータの入出力に注目し、問題を引き起こしそうなデータを大量に多様なパターンで入力して挙動を観察し、脆弱性を見つける」とあり、これはファジングの定義そのものです。ファジングは未知のバグや脆弱性を発見するために、意図的に異常な入力を大量に与えてソフトウェアの耐性を試す手法です。
よくある誤解
ファジングは単なるバージョンやパッチの確認ではなく、実際に異常な入力を試す動的検査です。ソースコードの静的解析とは異なり、実行時の挙動に注目します。
解法ステップ
- 問題文の「ファジング」の説明を確認する。
- 選択肢の説明が「大量の多様なデータを入力して挙動を観察」と合致するかを探す。
- ソースコード解析やパッチ適用状況の検査はファジングではないと判断する。
- 最もファジングの特徴を表す選択肢を選ぶ。
選択肢別の誤答解説
- ア:ソフトウェアのバージョンやパッチ適用状況を検査するのは「脆弱性管理」や「構成管理」であり、ファジングではありません。
- イ:正解。大量の異常データを入力して挙動を観察するファジングの説明です。
- ウ:ソースコードの構文を機械的にチェックするのは「静的解析」や「ホワイトボックステスト」であり、ファジングとは異なります。
- エ:セキュリティアドバイザリなどの情報を利用するのは「情報収集」や「脆弱性情報管理」で、ファジングの手法ではありません。
補足コラム
ファジングは自動化が進んでおり、特にセキュリティ分野で重要な脆弱性検査手法です。ブラックボックステストの一種で、ソフトウェアの堅牢性を評価するために使われます。近年はAIを活用した高度なファジング技術も登場しています。
FAQ
Q: ファジングはどのような脆弱性を見つけやすいですか?
A: バッファオーバーフローやメモリ破壊、例外処理の不備など、異常入力に対するソフトウェアの耐性に関わる脆弱性を発見しやすいです。
A: バッファオーバーフローやメモリ破壊、例外処理の不備など、異常入力に対するソフトウェアの耐性に関わる脆弱性を発見しやすいです。
Q: ファジングと静的解析の違いは何ですか?
A: ファジングは実際にソフトウェアを動かして異常挙動を検出する動的解析で、静的解析はソースコードを解析して脆弱性を検出する手法です。
A: ファジングは実際にソフトウェアを動かして異常挙動を検出する動的解析で、静的解析はソースコードを解析して脆弱性を検出する手法です。
関連キーワード: ファジング、脆弱性検査、ブラックボックステスト、動的解析、セキュリティテスト
\ せっかくなら /
応用情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!