応用情報技術者試験 応用情報技術者試験 平成28年度秋期 午前 問45: 脆弱性検査手法の一つであるファジングはどれか。

問題本文

脆弱性検査手法の一つであるファジングはどれか。

選択肢

• ア.既知の脆弱性に対するシステムの対応状況に注目し，システムに導入されているソフトウェアのバージョン及びパッチの適用状況の検査を行う。
• イ.ソフトウェアのデータの入出力に注目し，問題を引き起こしそうなデータを大量に多様なパターンで入力して挙動を観察し，脆弱性を見つける。
• ウ.ソフトウェアの内部構造に注目し，ソースコードの構文を機械的にチェックするホワイトボックス検査を行うことによって脆弱性を見つける。
• エ.ベンダや情報セキュリティ関連機関が提供するセキュリティアドバイザリなどの最新のセキュリティ情報に注目し，ソフトウェアの脆弱性の検査を行う。

正解

イ. ソフトウェアのデータの入出力に注目し，問題を引き起こしそうなデータを大量に多様なパターンで入力して挙動を観察し，脆弱性を見つける。

解説

ファジング(fuzzing)は、想定外の値や極端な値、不正な形式のデータ(ファズ)を大量かつ多様なパターンで入力し、ソフトウェアが異常終了するなどの挙動を観察して未知の脆弱性を見つける検査手法である。データの入出力に注目し問題を起こしそうなデータを大量に入力して挙動を見ると述べた選択肢イが、この定義に一致する。

選択肢ごとの解説

• ア.ソフトウェアのバージョンやパッチ適用状況を調べるのは既知の脆弱性に対する対応状況の確認であり、未知の不具合を入力データで炙り出すファジングとは異なる。
• イ.正しい。問題を引き起こしそうなデータを多様なパターンで大量に入力し、その挙動の観察から脆弱性を発見する手法がファジングである。
• ウ.ソースコードの構文を機械的に検査するのは静的解析(ホワイトボックス検査)であり、データを入力して動作を観察する動的手法であるファジングとは異なる。
• エ.セキュリティアドバイザリなど外部の最新情報を基に検査するのは情報収集型の確認であり、自らデータを入力して挙動を試すファジングとは異なる。