選択肢
- ア.外部ネットワークから公開サーバへの不正侵入口
- イ.記録媒体による機密情報の持出し
- ウ.社内のネットワークに接続しようとするPCのウイルス感染
- エ.セキュリティで保護された部屋への不正な入室経路
正解
ア. 外部ネットワークから公開サーバへの不正侵入口
解説
ペネトレーションテスト(侵入テスト)は,実際の攻撃者の手口を模してシステムへ侵入を試み,セキュリティ上の弱点(脆弱性)を洗い出すテスト手法である. インターネット経由で公開サーバ(Webサーバ・メールサーバ等)に対し外部から行えば,公開システムへの不正侵入口や設定ミス・脆弱性を検出できる. ホワイトボックス型(構成情報を与える)・ブラックボックス型(情報なし)等の手法があり,ペンテスターが実際の攻撃手順を再現して確認する. 記録媒体による情報持出しは物理的・運用面の脅威,PCのウイルス感染検出はアンチウイルスソフト等の役割,部屋への不正入室経路は物理セキュリティの範囲で,いずれもネット経由ペネトレで検証できる対象ではない別領域の脅威である.
選択肢ごとの解説
- ア.正しい. 外部ネットワークから公開サーバへの不正侵入口は,インターネット経由で行うペネトレーションテストにより実際の攻撃を模擬して検出できる典型的な脆弱性のため. 公開サーバの設定ミス・既知の脆弱性・認証回避・SQLインジェクション等を再現することで検証可能で,本問の検出対象として最も適切な例である.
- イ.誤り. 記録媒体による機密情報の持出しは物理的・運用面の脅威で,ネットワーク経由のペネトレーションテストでは検出できない領域である. USB持出し対策・媒体管理ルール・DLP(情報漏えい対策ソフト)など別の対策で対処すべき脅威であり,ネット経由侵入テストの対象範囲外である.
- ウ.誤り. 社内ネットワークに接続しようとするPCのウイルス感染検出は,アンチウイルスソフト・EDR(Endpoint Detection and Response)・検疫ネットワーク等の役割で,ペネトレーションテストの直接的な検出対象ではない. 検出する手法と目的が異なる別領域のセキュリティ対策となる用例である.
- エ.誤り. セキュリティで保護された部屋への不正な入室経路は物理セキュリティの問題で,ネット経由のペネトレーションテストでは検証できない対象である. 入退室管理(ICカード認証・警備員配置・監視カメラ)や物理監査(社員行動の確認)などの範囲で対処すべき別の脅威領域である.
ITパスポート 2016年 (平成28年 秋期) の過去問一覧へ戻る・問73