基本情報技術者 2017年秋期午前（科目A）問45

問題文

コンピュータやネットワークのセキュリティ上の脆弱性を発見するために、システムを実際に攻撃して侵入を試みる手法はどれか。

選択肢

ア：ウォークスルー

イ：ソフトウェアインスペクション

ウ：ペネトレーションテスト（正解）

エ：リグレッションテスト

脆弱性発見のために実際に攻撃して侵入を試みる手法はどれか【午前2 解説】

要点まとめ

結論→システムを実際に攻撃して侵入を試みる手法はペネトレーションテスト（侵入試験）であり実運用に近い条件で検証します。
根拠→設問の「実際に攻撃して侵入を試みる」は、解析やコード確認ではなく攻撃と侵入を前提とした検証を明確に指します。
差がつくポイント→脆弱性スキャンやコードレビューは痕跡検出や静的解析であり、実際の攻撃手法の再現／証明にはペネトレーションテストが必要で法的同意も必須です。

正解の理由

正解はウ：ペネトレーションテストです。ペネトレーションテストは、実際に手を動かして攻撃手法を用い、システムに侵入できるかどうかを検証する能動的なセキュリティ試験です。探索（スキャン）やコードの静的検査と異なり、脆弱性の悪用（エクスプロイト）を行って実害となるかを確認します。実運用に近い条件での検証、攻撃経路の特定、影響範囲の確認、改善点の報告を行う点が特徴です。

よくある誤解

ペネトレーションテストと脆弱性スキャンを同じと考える誤解：スキャンは弱点の発見が中心で、実際の侵入を試みるかは別です。
ソフトウェアインスペクション（コードレビュー）で侵入の可否が判断できると考える誤解：コードレビューは欠陥の有無を検出しますが、実際の攻撃シナリオでの挙動確認とは別物です。
合法性を軽視する誤解：実際に攻撃を伴うため、書面による同意や範囲の合意がないと違法行為になる点を見落としがちです。

解法ステップ

問題文中のキーワードを確認：「実際に攻撃して侵入を試みる」。
選択肢の定義を思い出す：ウォークスルー＝手順確認、ソフトウェアインスペクション＝静的検査、ペネトレーションテスト＝侵入試験、リグレッション＝回帰テスト。
「実際に攻撃して侵入」するものはどれかを照合して、ペネトレーションテストを選ぶ。

選択肢別の誤答解説

ア: ウォークスルー
ウォークスルーは設計や手順を関係者で説明・確認する手法で、実際に攻撃して侵入を試みる行為ではありません。
イ: ソフトウェアインスペクション
ソフトウェアインスペクション（コードレビュー）はソースコードや設計の欠陥を静的に検出する方法で、能動的に侵入を試すものではありません。
ウ: ペネトレーションテスト
正解。実際の攻撃手法を用いて脆弱性を悪用し、システムへの侵入や影響を確認する手法です。ブラック／グレイ／ホワイトボックスの形態があります。
エ: リグレッションテスト
リグレッションテストは既存機能に対する回帰（変更による影響）を検証するテストで、セキュリティ侵入試験とは目的が異なります。

補足コラム

ペネトレーションテストには形式的な基準や手順があり、代表的な参照資料としてOWASPやNISTのガイドライン（例：NIST SP800-115）が利用されます。実施形態には、外部からの攻撃を想定するブラックボックス、内部情報を与えて行うホワイトボックス、部分的情報のグレイボックスがあります。主要ツールにはMetasploit、Burp Suite、nmap、Nessusなどがあり、報告では発見した脆弱性の再現手順、影響度、優先度、対策案を明確に示すことが重要です。また、実施前のスコープ合意と関係者の承認、実施中の事故対応ルールは必須です。

FAQ

Q: ペネトレーションテストと脆弱性スキャンの違いは何ですか？
A: スキャンは既知の脆弱性や設定ミスを検出する自動化中心の診断、ペネトレーションは実際に脆弱性を突いて侵入可能性を検証する能動的診断です。

Q: ペネトレーションテストは安全ですか？
A: 適切な計画と同意、バックアウト手順があれば実施できますが、本質的にリスクを伴うため事前合意と監視、緊急停止手順が不可欠です。

Q: どのくらいの頻度で実施すべきですか？
A: 重要度や変更頻度によりますが、年1回以上や大規模な変更後、重要資産ではより頻繁に実施することが推奨されます。

関連キーワード: ペネトレーションテスト、脆弱性診断、侵入試験、脆弱性スキャン、ソフトウェアインスペクション、ウォークスルー、リグレッションテスト、OWASP、NIST SP800-115

← 前の問題へ次の問題へ →

\ せっかくなら /

基本情報技術者を
クイズ形式で学習しませんか？

クイズ画面へ遷移する→

すぐに利用可能！