応用情報技術者 2019年 秋期 午前2 問44
問題文
ファジングに該当するものはどれか。
選択肢
ア:サーバに FIN パケットを送信し、 サーバからの応答を観測して、 稼働しているサービスを見つけ出す。
イ:サーバのOSやアプリケーションソフトウェアが生成したログやコマンド履歴などを解析して、 ファイルサーバに保存されているファイルの改ざんを検知する。
ウ:ソフトウェアに、問題を引き起こしそうな多様なデータを入力し、挙動を監視して、脆弱性を見つけ出す。(正解)
エ:ネットワーク上を流れるパケットを収集し、そのプロトコルヘッダやペイロードを解析して、あらかじめ登録された攻撃パターンと一致した場合は不正アクセスと判断する。
ファジングに該当するものはどれか【午前2 解説】
要点まとめ
- 結論:ファジングとは、多様な異常データをソフトウェアに入力し挙動を監視して脆弱性を発見する手法です。
- 根拠:正常な入力だけでなく、予期しないデータを大量に与えることでバグやセキュリティホールを検出します。
- 差がつくポイント:ファジングは「入力の多様性」と「挙動監視」が特徴であり、単なる通信解析やログ解析とは異なります。
正解の理由
選択肢ウは「ソフトウェアに問題を引き起こしそうな多様なデータを入力し、挙動を監視して脆弱性を見つけ出す」とあり、ファジングの定義に完全に合致しています。ファジングは自動化されたテスト技法の一つで、未知のバグや脆弱性を効率的に発見するために使われます。
よくある誤解
ファジングは単なる通信パケットの送受信やログ解析ではありません。異常データを大量に投入してソフトウェアの耐性を試す点が重要です。
解法ステップ
- ファジングの基本概念を理解する(異常データ入力+挙動監視)。
- 各選択肢の説明をファジングの定義と照らし合わせる。
- 通信解析やログ解析はファジングではないと判断する。
- 多様なデータを入力し脆弱性を探す選択肢を選ぶ。
選択肢別の誤答解説
- ア:FINパケット送信でサービス検出はポートスキャンやサービス検出技術であり、ファジングではありません。
- イ:ログやコマンド履歴の解析は不正検知やフォレンジックの一部で、ファジングとは異なります。
- ウ:正解。多様なデータを入力し挙動を監視して脆弱性を探すファジングの説明です。
- エ:パケット解析と攻撃パターン照合はIDS(侵入検知システム)の機能であり、ファジングではありません。
補足コラム
ファジングはブラックボックステストの一種で、ソフトウェアの堅牢性を評価するために広く使われています。近年はAIを活用したスマートファジングも登場し、効率的な脆弱性発見が可能になっています。
FAQ
Q: ファジングはどの段階で行うテストですか?
A: 主にソフトウェア開発のテスト段階で行い、リリース前の脆弱性検出に用いられます。
A: 主にソフトウェア開発のテスト段階で行い、リリース前の脆弱性検出に用いられます。
Q: ファジングとペネトレーションテストの違いは?
A: ファジングは自動化された異常入力による脆弱性検出、ペネトレーションテストは手動やツールを使った総合的な侵入テストです。
A: ファジングは自動化された異常入力による脆弱性検出、ペネトレーションテストは手動やツールを使った総合的な侵入テストです。
関連キーワード: ファジング、脆弱性検査、ソフトウェアテスト、ブラックボックステスト、セキュリティ検査
\ せっかくなら /
応用情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!