戦国IT - 情報処理技術者試験の過去問対策サイト
ブログお知らせお問い合わせ料金プラン

ITパスポート 2016年 秋期 73


問題文

インターネット経由で行うペネトレーションテストで見つけられる脆弱性の例として、適切なものはどれか。

選択肢

外部ネットワークから公開サーバへの不正侵入口(正解)
記録媒体による機密情報の持出し
社内のネットワークに接続しようとするPCのウイルス感染
セキュリティで保護された部屋への不正な入室経路

🔒 解説は解答すると表示されます

インターネット経由で行うペネトレーションテストで見つけられる脆弱性の例【ITパスポート 解説】

正解の理由

ペネトレーションテスト(侵入テスト:第三者が攻撃者の立場でシステムの弱点を見つけ、実際に侵入を試みること)を「インターネット経由」で行う場合、外部から到達可能な対象だけを調べます。ここでいう脆弱性(ぜいじゃくせい:攻撃に利用されうる欠点や弱点)として最も適切なのは、外部ネットワークから公開サーバへの不正侵入口を指す選択肢、すなわち です。公開サーバ(インターネット上に公開されているサービスを提供するコンピュータ)には外部から直接アクセスできるため、リモートで見つけやすく、実際に侵入を試せるからです。

解法ステップ

  1. 問題文の「インターネット経由で行う」を確認する。これが範囲(スコープ)を決める手がかりです。
  2. 各選択肢が「外部(インターネットから届く)」「内部(社内・物理)」「物理的」どれに当たるか分類する。
  3. インターネット経由で見つけられるものだけを残し、他を除外する。
    • 外部からアクセス可能 → 検出・攻撃可能(正解候補)
    • 物理的アクセスや社内限定の問題 → リモートのテストでは通常検出不可 → 誤り

選択肢別の誤答解説

  • ア: 外部ネットワークから公開サーバへの不正侵入口
    • 正しい説明:公開サーバはインターネット上で見えるため、ポートスキャンや脆弱性スキャン、実際の攻撃(例:認証バイパス、ソフトウェアの脆弱性悪用)で不正侵入口を見つけられます。したがってインターネット経由のペネトレーションテストで発見可能です。
  • イ: 記録媒体による機密情報の持出し
    • 誤りの理由:USBメモリなどの記録媒体を用いた持出しは物理的な操作や社員の行動に依存します。インターネット経由で直接検出・再現することは基本的にできません(ただし、社内の仕組みがリモートで不適切に設定され、ログなどで痕跡を得られる場合を除きますが、問題の主旨からは該当しません)。
  • ウ: 社内のネットワークに接続しようとするPCのウイルス感染
    • 誤りの理由:端末のウイルス感染はエンドポイント(PC)への直接アクセスや添付ファイル、外部記憶媒体、社内ネットワーク経由などで起きます。インターネットからの攻撃で端末まで直接感染させるケースもありますが、設問は「社内に接続しようとするPCのウイルス感染」という内部の現象を示しており、一般的にインターネット経由の外部ペネトレーションテストの直接対象ではありません。内部ネットワークへの侵入(内部テスト)や社会工学を含める場合は別です。
  • エ: セキュリティで保護された部屋への不正な入室経路
    • 誤りの理由:これは物理的な侵入(オフィスやサーバ室への侵入)に関する脆弱性です。インターネット経由のリモートテストでは検証できません。物理的なペネトレーションテスト(実際に鍵やバッジの管理を確認するテスト)で扱われます。

よくある誤解

  • 「インターネット経由なら何でも見つかる」
    • 誤解です。インターネット経由で到達できる資産(公開サーバ、公開API、公開されたサービスなど)だけが対象です。社内専用の端末や施錠された部屋は通常対象外です。
  • 「ペネトレーションテスト=脆弱性診断」
    • 違いがあります。脆弱性診断は自動ツールで弱点を洗い出す作業が中心です。ペネトレーションテストはツールと手動の技術で実際に侵入を試み、どこまで悪用できるかを確認します。どちらも重要ですが目的と手法が異なります。

補足コラム

ペネトレーションテストには主に次の種類があります。範囲を把握すると問題が解きやすくなります。
  • 外部(リモート)テスト:インターネットから到達可能な資産を対象。今回の設問はこちらに該当します。
  • 内部テスト:社内ネットワーク内からの攻撃を想定。内部PCやファイルサーバなどを検査します。
  • 社会工学(ソーシャルエンジニアリング):人を騙して情報を引き出す手法(例:電話やメールでのなりすまし)。
  • 物理的テスト:鍵や入退室管理の弱点を検証する実地の侵入テスト。
インターネット経由で見つかりやすい具体例:開いている不要なポート、公開された管理画面(ログイン画面)への弱い認証、ソフトウェアの未更新による既知の脆弱性(例:公開されているCMSの脆弱性)、SQLインジェクションやクロスサイトスクリプティング(XSS)などのウェブ脆弱性。

FAQ

Q1. インターネット経由で内部ネットワークに侵入できることはありますか?
A1. はい、可能です。公開サーバが侵害されると、そのサーバを踏み台にして内部に「ピボット」する手法が使われます。ただし、それは最初に外部から侵入できる公開資産が必要です。
Q2. 物理的な侵入やUSB持出しもペネトレーションテストで扱いますか?
A2. はい、範囲に含めれば扱いますが、問題のように「インターネット経由」と限定される場合は対象外です。テストのスコープは事前に合意します。
Q3. 自分の会社の公開サーバが心配です。まず何をすべきですか?
A3. まずは公開資産の一覧化(どのサーバ・サービスが公開されているか)と、ソフトウェアの更新状況・不要サービスの停止・強い認証の導入(多要素認証)を確認してください。専門家による外部向けの脆弱性診断やペネトレーションテストの実施も検討してください。

関連キーワード: ペネトレーションテスト、脆弱性、公開サーバ、外部攻撃、物理的セキュリティ、内部ネットワーク、脆弱性診断、ポートスキャン
← 前の問題へこの年度をクイズで解く次の問題へ →
戦国ITクイズ機能

\ せっかくなら /

ITパスポート
クイズ形式で学習しませんか?

クイズ画面へ遷移する

すぐに利用可能!

©︎2026 情報処理技術者試験対策アプリ

このサイトについてブログプライバシーポリシー利用規約特商法表記開発者について