応用情報技術者試験 応用情報技術者試験 平成30年度秋期 午前 問59: システム監査において，ペネトレーションテストが最も適合するチェックポイントはどれか。

問題本文

システム監査において，ペネトレーションテストが最も適合するチェックポイントはどれか。

選択肢

• ア.オフィスへの入退室に，不正防止及び機密保護の物理的な対策が講じられているか。
• イ.データ入力が漏れなく，重複なく正確に行われているか。
• ウ.ネットワークの負荷状況の推移が記録，分析されているか。
• エ.ネットワークへのアクセスコントロールが有効に機能しているか。

正解

エ. ネットワークへのアクセスコントロールが有効に機能しているか。

解説

ペネトレーションテストが適合する監査の観点を問う問題である。ペネトレーションテスト(侵入テスト)は、システムに対して攻撃者の手口で実際に侵入を試み、不正アクセスを防ぐ仕組みが有効に機能しているかを確認する手法である。したがって「ネットワークへのアクセスコントロールが有効に機能しているか」というエが最も適合する。他の選択肢は物理対策・入力の正確性・負荷状況という別の観点であり、侵入を試すテストとは結びつかない。

選択肢ごとの解説

• ア.入退室の物理的な不正防止・機密保護対策の確認は、現地調査や物理セキュリティの点検で行うべき観点であり、ネットワークへの侵入を試すペネトレーションテストの対象ではない。
• イ.データ入力が漏れ・重複なく正確に行われているかは入力統制の観点であり、侵入を試すペネトレーションテストとは無関係である。
• ウ.ネットワーク負荷状況の記録・分析はキャパシティ管理・性能監視の観点であり、侵入の可否を試すペネトレーションテストの対象ではない。
• エ.正しい。実際に侵入を試みてアクセスコントロール(アクセス制御)が有効に機能しているかを確認するのがペネトレーションテストの適合する観点である。