ITパスポート試験 過去問解説
ペネトレーションテストとは?ITパスポート試験 2016年 (平成28年 秋期) 問73を解説
ITパスポート試験 2016年 (平成28年 秋期) 問73は、ペネトレーションテストに関する理解を問う問題です。検索から入っても、問題文、選択肢、正解、解説、各選択肢がなぜ違うかをこのページだけで確認できます。
問題文
この問題の出題ポイント
- ペネトレーションテストの定義だけでなく、問題文中の条件がどの選択肢に当てはまるかを確認する。
- テクノロジ系分野では、用語の目的・主体・責任範囲の違いが選択肢で問われやすい。
- 関連タグ: ペネトレーションテスト、脆弱性診断、侵入テスト。
選択肢
- ア外部ネットワークから公開サーバへの不正侵入口正解
- イ記録媒体による機密情報の持出し
- ウ社内のネットワークに接続しようとするPCのウイルス感染
- エセキュリティで保護された部屋への不正な入室経路
正解
ア: 外部ネットワークから公開サーバへの不正侵入口
解説
なぜ他の選択肢が違うのか
ア(正解)
正しい. 外部ネットワークから公開サーバへの不正侵入口は,インターネット経由で行うペネトレーションテストにより実際の攻撃を模擬して検出できる典型的な脆弱性のため. 公開サーバの設定ミス・既知の脆弱性・認証回避・SQLインジェクション等を再現することで検証可能で,本問の検出対象として最も適切な例である.
イ
誤り. 記録媒体による機密情報の持出しは物理的・運用面の脅威で,ネットワーク経由のペネトレーションテストでは検出できない領域である. USB持出し対策・媒体管理ルール・DLP(情報漏えい対策ソフト)など別の対策で対処すべき脅威であり,ネット経由侵入テストの対象範囲外である.
ウ
誤り. 社内ネットワークに接続しようとするPCのウイルス感染検出は,アンチウイルスソフト・EDR(Endpoint Detection and Response)・検疫ネットワーク等の役割で,ペネトレーションテストの直接的な検出対象ではない. 検出する手法と目的が異なる別領域のセキュリティ対策となる用例である.
エ
誤り. セキュリティで保護された部屋への不正な入室経路は物理セキュリティの問題で,ネット経由のペネトレーションテストでは検証できない対象である. 入退室管理(ICカード認証・警備員配置・監視カメラ)や物理監査(社員行動の確認)などの範囲で対処すべき別の脅威領域である.
解き方の整理
ペネトレーションテストの問題では、選択肢のキーワードだけで判断せず、問題文が示す条件と正解選択肢の説明が一致しているかを見ます。誤答選択肢は、似た用語を混ぜる、主体を入れ替える、目的や範囲を広げすぎる、という形で作られることが多いため、選択肢別解説まで確認しておくと復習効率が上がります。
関連用語
関連問題
前後の問題
2016年 (平成28年 秋期) の関連する問題
復習を続ける
間違えた問題、苦手タグ、模試履歴を保存して復習する導線を用意しています。広告なしPro、弱点分析、復習リマインダーは段階的に提供予定です。