情報処理安全確保支援士試験 2023年 春期 午前2 問22
IoT機器のペネトレーションテスト(Penetration Test)の説明として適切なものはどれか。
ア:開発の最終段階に,IoT機器と通信対象となるサーバ及びネットワーク全体の動作が仕様書どおりであることをテストする。
イ:回路図,ソースコードなどのシステムの内部構造を参照して,仕様確認のためのテストを行う。
ウ:恒温恒湿器を用いて,要求仕様で定められた温湿度条件で動作するかどうか,耐久性はどうかをテストする。
エ:ネットワーク,バス,デバッグインタフェースなどの脆弱性を利用して,IoT機器への攻撃と侵入を試みるテストを行う。(正解)
解説
IoT機器のペネトレーションテスト(Penetration Test)の説明 +【午前2 解説】
要点まとめ
- 結論:ペネトレーションテストは、IoT機器の脆弱性を突いて実際に攻撃を試みることで安全性を評価します。
- 根拠:ネットワークやバス、デバッグインタフェースなどの弱点を利用し、侵入可能性を検証する手法だからです。
- 差がつくポイント:単なる動作確認や仕様検証ではなく、攻撃者の視点で実際に侵入を試みる点が重要です。
正解の理由
選択肢エは、ペネトレーションテストの本質を正確に表しています。ペネトレーションテストとは、システムの脆弱性を発見するために、実際に攻撃を模擬して侵入を試みるテストです。IoT機器はネットワークや内部バス、デバッグインタフェースなど多様な接点があり、これらを狙った攻撃が可能かどうかを検証します。これにより、未知の脆弱性や設定ミスを発見し、対策を講じることができます。
よくある誤解
ペネトレーションテストは単なる動作確認や仕様通りの動作検証ではありません。内部構造の確認や環境試験とも異なり、実際の攻撃を模擬する点が特徴です。
解法ステップ
- 問題文の「ペネトレーションテスト」の意味を正確に理解する。
- 各選択肢の説明内容が「攻撃を試みるテスト」かどうかを確認する。
- 動作確認や仕様検証、環境試験はペネトレーションテストの定義に合わないと判断する。
- ネットワークやデバッグインタフェースの脆弱性を利用して侵入を試みる説明を選ぶ。
- 選択肢エが該当するため、これを正解とする。
選択肢別の誤答解説
- ア: 開発の最終段階での動作確認は受け入れテストやシステムテストであり、攻撃を試みるペネトレーションテストとは異なります。
- イ: 回路図やソースコードを参照するのはホワイトボックステストやコードレビューであり、ペネトレーションテストの定義には合いません。
- ウ: 恒温恒湿器を使った環境試験は耐久性や動作環境の検証であり、セキュリティ評価とは別の試験です。
- エ: ネットワークやバス、デバッグインタフェースの脆弱性を利用して攻撃を試みる点がペネトレーションテストの本質です。
補足コラム
ペネトレーションテストは「侵入テスト」とも呼ばれ、実際の攻撃者の視点でシステムの弱点を探ります。IoT機器は多様な通信プロトコルや物理インタフェースを持つため、ペネトレーションテストは特に重要です。テスト結果をもとにファームウェアの更新や設定変更を行い、セキュリティ強化を図ります。
FAQ
Q: ペネトレーションテストと脆弱性診断の違いは何ですか?
A: 脆弱性診断はシステムの弱点を検出することに重点を置き、ペネトレーションテストはその弱点を実際に攻撃して侵入可能かを検証します。
A: 脆弱性診断はシステムの弱点を検出することに重点を置き、ペネトレーションテストはその弱点を実際に攻撃して侵入可能かを検証します。
Q: IoT機器のペネトレーションテストで特に注意すべき点は?
A: 物理的なアクセス経路や無線通信の脆弱性、デバッグインタフェースの保護状態など、多様な攻撃経路を考慮する必要があります。
A: 物理的なアクセス経路や無線通信の脆弱性、デバッグインタフェースの保護状態など、多様な攻撃経路を考慮する必要があります。
関連キーワード: ペネトレーションテスト, IoTセキュリティ, 脆弱性評価, 侵入テスト, セキュリティ検証