選択肢
- ア.システムに対して,実際に攻撃して侵入を試みることで,セキュリティ上の弱点を発見する。
- イ.システムに対して,通常以上の高い負荷をかけて,正常に機能するかどうかを確認する。
- ウ.プログラムを変更したときに,その変更によって想定外の影響が現れていないかどうかを確認する。
- エ.利用者にシステムを実際に使ってもらうことで,使いやすさを確認する。
正解
ア. システムに対して,実際に攻撃して侵入を試みることで,セキュリティ上の弱点を発見する。
解説
ペネトレーションテスト(penetration test,侵入テスト)は,セキュリティ専門家が実際にシステムへ攻撃を試み,セキュリティ上の弱点(脆弱性)を発見するテスト手法. 攻撃者の視点で運用中のシステムを評価できる強力な手段で,通常のセキュリティ診断より踏み込んだ検証となる. 負荷テスト(高負荷で動作確認)は性能テスト,リグレッションテスト(変更影響確認)は回帰テスト,ユーザビリティテストは使いやすさ確認であり,いずれも侵入を試みる目的ではない. 「実際に攻撃して弱点を見つける」がペネトレーションテストの核心となる.
選択肢ごとの解説
- ア.正解. ペネトレーションテストは,実際にシステムに対して攻撃を試みて侵入できるかを検証し,セキュリティ上の弱点を発見するテスト. ペンテスタが攻撃者目線で脆弱性を突き,認証回避・権限昇格・データ取得などの実害可能性を確認する. 結果を踏まえてセキュリティ対策の優先度付けや改修に活用する有効な手法である.
- イ.誤り. 「通常以上の高い負荷をかけて正常に機能するか確認する」のは負荷テスト(ロードテスト)や性能テストの説明. システムの応答時間・スループット・耐久性を評価するもので,セキュリティ上の弱点発見を目的とするペネトレーションテストとは目的とアプローチが全く異なる.
- ウ.誤り. 「プログラム変更時に想定外影響が出ていないか確認する」のはリグレッションテスト(回帰テスト)の説明. 変更による副作用を検出するためのテストで,既存機能の維持を確認するもの. 攻撃により脆弱性を発見するペネトレーションテストとは目的が異なる.
- エ.誤り. 「利用者にシステムを実際に使ってもらい使いやすさを確認する」のはユーザビリティテストの説明. UIや操作性を利用者視点で評価するもので,セキュリティ上の弱点発見を目的とするペネトレーションテストとは対象も視点も異なる. 性能・回帰・操作性・侵入は別カテゴリ.
ITパスポート 2014年 (平成26年 秋期) の過去問一覧へ戻る・問62