ホーム > 情報処理安全確保支援士試験 > 2019年春期

情報処理安全確保支援士試験 2019年春期午前2 問22

問題を引き起こす可能性があるデータを大量に入力し,そのときの応答や挙動を監視することによって, ソフトウェアの脆弱性を検出するテスト手法はどれか。

ア：限界値分析

イ：実験計画法

ウ：ファジング（正解）

エ：ロードテスト

解説

問題を引き起こす可能性があるデータを大量に入力し,そのときの応答や挙動を監視することによって, ソフトウェアの脆弱性を検出するテスト手法はどれか。【午前2 解説】

要点まとめ

結論：大量の異常データを自動生成しソフトの挙動を監視する「ファジング」が正解です。
根拠：ファジングは意図的に不正な入力を与え、脆弱性やバグを発見するテスト手法として広く用いられています。
差がつくポイント：限界値分析や実験計画法は入力値の範囲や組み合わせを系統的に検証する手法であり、脆弱性検出に特化していません。

正解の理由

ファジングは、問題を引き起こす可能性のある大量の異常データやランダムなデータをソフトウェアに入力し、その応答や挙動を監視して脆弱性やバグを検出する手法です。これにより、通常のテストでは見つけにくいセキュリティ上の弱点やクラッシュの原因を効率的に発見できます。選択肢の中でこの説明に最も合致するのはウ: ファジングです。

よくある誤解

限界値分析は入力値の境界を重点的にテストする手法であり、異常データを大量に投入するファジングとは目的が異なります。ロードテストは性能評価に用いられます。

解法ステップ

問題文の「大量に入力し」「応答や挙動を監視」「脆弱性を検出」というキーワードに注目する。
各選択肢の特徴を整理する。
「大量の異常データを自動生成しテストする」手法がファジングであることを確認する。
他の選択肢が性能評価や入力値の範囲検証であることを排除する。
正解はウと判断する。

選択肢別の誤答解説

ア: 限界値分析
入力値の境界付近を重点的にテストする手法であり、大量の異常データを自動生成するわけではありません。
イ: 実験計画法
入力の組み合わせを効率的に検証する統計的手法で、脆弱性検出に特化していません。
ウ: ファジング
大量の異常データを自動生成し、ソフトの挙動を監視して脆弱性を検出する手法で正解です。
エ: ロードテスト
システムの負荷耐性や性能を評価するテストであり、脆弱性検出とは目的が異なります。

補足コラム

ファジングはセキュリティ分野で特に重要視されており、バッファオーバーフローやSQLインジェクションなどの脆弱性発見に効果的です。近年はAIを活用したスマートファジングも研究されています。

FAQ

Q: ファジングはどのように異常データを生成しますか？
A: ランダム生成や既知の攻撃パターンを組み合わせて大量の異常データを自動的に作成します。

Q: 限界値分析とファジングの違いは何ですか？
A: 限界値分析は正常範囲の境界値を重点的にテストするのに対し、ファジングは異常や不正なデータを大量に投入して脆弱性を探します。

関連キーワード: ファジング, 脆弱性検出, ソフトウェアテスト, セキュリティテスト, 異常データ入力, バッファオーバーフロー

← 前の問題へ次の問題へ →

情報処理安全確保支援士試験 2019年 春期 午前2 問22

解説