ITパスポート試験 過去問解説
ペネトレーションテストとは?ITパスポート試験 2014年 (平成26年 秋期) 問62を解説
ITパスポート試験 2014年 (平成26年 秋期) 問62は、ペネトレーションテストに関する理解を問う問題です。検索から入っても、問題文、選択肢、正解、解説、各選択肢がなぜ違うかをこのページだけで確認できます。
問題文
この問題の出題ポイント
- ペネトレーションテストの定義だけでなく、問題文中の条件がどの選択肢に当てはまるかを確認する。
- テクノロジ系分野では、用語の目的・主体・責任範囲の違いが選択肢で問われやすい。
- 関連タグ: ペネトレーションテスト。
選択肢
- アシステムに対して,実際に攻撃して侵入を試みることで,セキュリティ上の弱点を発見する。正解
- イシステムに対して,通常以上の高い負荷をかけて,正常に機能するかどうかを確認する。
- ウプログラムを変更したときに,その変更によって想定外の影響が現れていないかどうかを確認する。
- エ利用者にシステムを実際に使ってもらうことで,使いやすさを確認する。
正解
ア: システムに対して,実際に攻撃して侵入を試みることで,セキュリティ上の弱点を発見する。
解説
なぜ他の選択肢が違うのか
ア(正解)
正解. ペネトレーションテストは,実際にシステムに対して攻撃を試みて侵入できるかを検証し,セキュリティ上の弱点を発見するテスト. ペンテスタが攻撃者目線で脆弱性を突き,認証回避・権限昇格・データ取得などの実害可能性を確認する. 結果を踏まえてセキュリティ対策の優先度付けや改修に活用する有効な手法である.
イ
誤り. 「通常以上の高い負荷をかけて正常に機能するか確認する」のは負荷テスト(ロードテスト)や性能テストの説明. システムの応答時間・スループット・耐久性を評価するもので,セキュリティ上の弱点発見を目的とするペネトレーションテストとは目的とアプローチが全く異なる.
ウ
誤り. 「プログラム変更時に想定外影響が出ていないか確認する」のはリグレッションテスト(回帰テスト)の説明. 変更による副作用を検出するためのテストで,既存機能の維持を確認するもの. 攻撃により脆弱性を発見するペネトレーションテストとは目的が異なる.
エ
誤り. 「利用者にシステムを実際に使ってもらい使いやすさを確認する」のはユーザビリティテストの説明. UIや操作性を利用者視点で評価するもので,セキュリティ上の弱点発見を目的とするペネトレーションテストとは対象も視点も異なる. 性能・回帰・操作性・侵入は別カテゴリ.
解き方の整理
ペネトレーションテストの問題では、選択肢のキーワードだけで判断せず、問題文が示す条件と正解選択肢の説明が一致しているかを見ます。誤答選択肢は、似た用語を混ぜる、主体を入れ替える、目的や範囲を広げすぎる、という形で作られることが多いため、選択肢別解説まで確認しておくと復習効率が上がります。
関連用語
関連問題
前後の問題
2014年 (平成26年 秋期) の関連する問題
復習を続ける
間違えた問題、苦手タグ、模試履歴を保存して復習する導線を用意しています。広告なしPro、弱点分析、復習リマインダーは段階的に提供予定です。