ITパスポート 2014年 秋期 問62
問題文
ペネトレーションテストの説明として、適切なものはどれか。
選択肢
ア:システムに対して、実際に攻撃して侵入を試みることで、セキュリティ上の弱点を発見する。(正解)
イ:システムに対して、通常以上の高い負荷をかけて、正常に機能するかどうかを確認する。
ウ:プログラムを変更したときに、その変更によって想定外の影響が現れていないかどうかを確認する。
エ:利用者にシステムを実際に使ってもらうことで、使いやすさを確認する。
🔒 解説は解答すると表示されます
ペネトレーションテストの説明【ITパスポート 解説】
正解の理由
選択肢の中で、実際に攻撃を仕掛けて侵入を試みることでセキュリティ上の弱点を発見するものは、アの説明が当てはまります。
ペネトレーションテスト(英: penetration test、直訳すると「侵入試験」)は、実際に攻撃者の手法を模してシステムへ侵入を試み、どこから侵入できるか、侵入した場合にどんな影響が出るかを確認する活動です。実際の攻撃を模する点が特徴で、脆弱性(ぜいじゃくせい:システムの弱点)が悪用されたときのリスク評価まで行う点で重要です。
ペネトレーションテスト(英: penetration test、直訳すると「侵入試験」)は、実際に攻撃者の手法を模してシステムへ侵入を試み、どこから侵入できるか、侵入した場合にどんな影響が出るかを確認する活動です。実際の攻撃を模する点が特徴で、脆弱性(ぜいじゃくせい:システムの弱点)が悪用されたときのリスク評価まで行う点で重要です。
解法ステップ
- 問題文のキーワードを探す:ここでは「実際に攻撃して侵入を試みる」「セキュリティ上の弱点を発見する」が重要です。
- 各選択肢の意味を確認する:専門用語が分からなければ短く意味を確認します(例:負荷テスト、回帰テスト、ユーザビリティテスト)。
- 用語とキーワードを照合する:「実際に攻撃して侵入を試みる」はペネトレーションテストの定義そのものなので、それに一致する選択肢を選びます。
- 他選択肢が何を指しているかを押さえる:間違いやすい類似のテスト(負荷テスト、回帰テスト、ユーザビリティテスト)と区別することで確実に選べます。
選択肢別の誤答解説
- ア: 実際に攻撃して侵入を試みることで弱点を見つける。これがペネトレーションテストの定義なので正しい選択です。
- イ: 「通常以上の高い負荷をかけて、正常に機能するかを確認する」は負荷テスト(英: load test)です。サーバ(サービスを提供するコンピュータ)やシステムが高負荷時にどう動くかを調べます。ペネトレーションテストとは目的が異なります。
- ウ: 「プログラムを変更したときに、想定外の影響がないか確認する」は回帰テスト(英: regression test)です。ソフトウェアの修正や追加が他の機能を壊していないかを確認します。セキュリティの侵入を試みるものではありません。
- エ: 「利用者に実際に使ってもらい、使いやすさを確認する」はユーザビリティテスト(英: usability test)です。これは操作のしやすさやデザインの評価で、セキュリティ侵入とは関係がありません。
よくある誤解
- ペネトレーションテスト = 脆弱性診断ではない
- 脆弱性診断(vulnerability assessment:弱点を自動検出すること)は問題箇所を洗い出す作業で、必ずしも実際に侵入を試みるわけではありません。ペネトレーションテストは「侵入してどこまで行けるか」を実証する点が違います。
- ペネトレーションテストは必ずシステムを壊すものではない
- 実際の攻撃手法を使うためリスクはありますが、事前に計画・許可を取り、範囲を限定して安全に実施します。許可なく行うと違法になります。
- 「攻撃」と聞いて守備側のテストと混同しがちだが目的は評価
- 目的は防御の弱点を見つけ、改善することです。攻撃そのものが目的ではありません。
補足コラム
ペネトレーションテストにはいくつかの実施方法があります。
- ブラックボックステスト:テスターはシステム内部情報を持たず、外部から攻撃を模します。実際の外部攻撃者に近い視点です。
- ホワイトボックステスト:内部の構成やソースコードなどの情報を与えて、深く調べます。開発側と協力して行うことが多いです。
- グレイボックステスト:その中間で、限られた情報を持ってテストします。
また、ツール(例:nmapやMetasploitなど)が使われますが、これらは正当な許可のもとでのみ使用すべきです。実務では事前に範囲や影響を明確にし、バックアップや緊急連絡体制を整えて行います。
FAQ
Q1: ペネトレーションテストは誰がやるのですか?
A1: 専門のセキュリティエンジニアや、外部のセキュリティベンダーが行います。社内の担当者が行う場合もありますが、専門知識が必要です。
A1: 専門のセキュリティエンジニアや、外部のセキュリティベンダーが行います。社内の担当者が行う場合もありますが、専門知識が必要です。
Q2: どれくらいの頻度で実施すべきですか?
A2: 絶対的な正解はありませんが、重要なシステムや大きな変更の後、年に1回以上は実施するのが一般的です。リスクや業界の規制に応じて増やします。
A2: 絶対的な正解はありませんが、重要なシステムや大きな変更の後、年に1回以上は実施するのが一般的です。リスクや業界の規制に応じて増やします。
Q3: 許可なくペネトレーションテストをするとどうなる?
A3: 不正アクセスや業務妨害に該当し、法律違反や信頼失墜のリスクがあります。必ず書面などで明確な許可を得て実施します。
A3: 不正アクセスや業務妨害に該当し、法律違反や信頼失墜のリスクがあります。必ず書面などで明確な許可を得て実施します。
Q4: 脆弱性診断とセットでやるべきですか?
A4: 多くの組織は両方を組み合わせます。まず自動診断で問題箇所を見つけ、深刻な箇所をペネトレーションテストで実証する流れが効果的です。
A4: 多くの組織は両方を組み合わせます。まず自動診断で問題箇所を見つけ、深刻な箇所をペネトレーションテストで実証する流れが効果的です。
関連キーワード: ペネトレーションテスト、ペンテスト、侵入テスト、脆弱性診断、負荷テスト、回帰テスト、ユーザビリティテスト、セキュリティテスト、ブラックボックス、ホワイトボックス

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

