応用情報技術者 2018年 秋期 午前2 問59
問題文
システム監査において、ペネトレーションテストが最も適合するチェックポイントはどれか。
選択肢
ア:オフィスへの入退室に、不正防止及び機密保護の物理的な対策が講じられているか。
イ:データ入力が漏れなく、 重複なく正確に行われているか。
ウ:ネットワークの負荷状況の推移が記録、 分析されているか。
エ:ネットワークへのアクセスコントロールが有効に機能しているか。(正解)
システム監査におけるペネトレーションテストの適合チェックポイント【午前2 解説】
要点まとめ
- 結論:ペネトレーションテストはネットワークへのアクセスコントロールの有効性を検証するために最適です。
- 根拠:ペネトレーションテストは実際に攻撃を模擬し、システムの脆弱性やアクセス制御の弱点を発見する手法だからです。
- 差がつくポイント:物理的対策やデータ入力の正確性、ネットワーク負荷の分析は別の監査手法で評価し、ペネトレーションテストは主にネットワークやシステムの防御機構の検証に使われます。
正解の理由
選択肢エ「ネットワークへのアクセスコントロールが有効に機能しているか」は、ペネトレーションテストの目的に最も合致します。ペネトレーションテストは、実際に攻撃者の視点でネットワークやシステムに侵入を試み、アクセス制御の弱点や脆弱性を発見するため、アクセスコントロールの有効性を直接検証できます。
よくある誤解
ペネトレーションテストは物理的なセキュリティ対策やデータ入力の正確性を評価するものではありません。これらは別の監査手法や管理策で確認します。
解法ステップ
- ペネトレーションテストの定義と目的を理解する。
- 各選択肢の内容がペネトレーションテストの対象かを検討する。
- 物理的対策やデータ入力、ネットワーク負荷はペネトレーションテストの範囲外と判断する。
- ネットワークアクセスコントロールの検証がペネトレーションテストの主な目的であると結論づける。
- 選択肢エを正解とする。
選択肢別の誤答解説
- ア: オフィスの入退室管理は物理的セキュリティであり、ペネトレーションテストの対象外です。
- イ: データ入力の正確性は業務プロセスの監査範囲であり、技術的な侵入テストとは異なります。
- ウ: ネットワーク負荷の推移分析は性能監査や運用監査の範囲であり、セキュリティ侵入テストとは関係ありません。
- エ: ネットワークへのアクセスコントロールの有効性を実際に攻撃を模擬して検証するため、ペネトレーションテストに最適です。
補足コラム
ペネトレーションテストは「侵入テスト」とも呼ばれ、外部または内部の攻撃者を想定してシステムの脆弱性を発見します。これにより、アクセス制御の設定ミスやセキュリティホールを事前に把握し、対策を講じることが可能です。物理的セキュリティや業務プロセスの正確性は別途監査手法で評価されます。
FAQ
Q: ペネトレーションテストはどのような手法で行われますか?
A: 実際の攻撃手法を模倣し、脆弱性スキャンや手動での侵入試行を組み合わせて実施します。
A: 実際の攻撃手法を模倣し、脆弱性スキャンや手動での侵入試行を組み合わせて実施します。
Q: 物理的なセキュリティ対策はペネトレーションテストで評価できますか?
A: いいえ。物理的対策は別の物理監査や現地調査で評価します。
A: いいえ。物理的対策は別の物理監査や現地調査で評価します。
関連キーワード: ペネトレーションテスト、アクセスコントロール、システム監査、脆弱性検査、ネットワークセキュリティ
\ せっかくなら /
応用情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!