情報処理安全確保支援士試験 情報セキュリティスペシャリスト試験 平成27年度秋期 午前Ⅰ 問15: ペネトレーションテストの目的はどれか。

問題本文

ペネトレーションテストの目的はどれか。

選択肢

• ア.暗号化で使用している暗号方式と鍵長が，設計仕様と一致することを確認する。
• イ.対象プログラムの入力に対する出力結果が，出力仕様と一致することを確認する。
• ウ.ファイアウォールが単位時間当たりに処理できるセッション数を確認する。
• エ.ファイアウォールや公開サーバに対して侵入できないかどうかを確認する。

正解

エ. ファイアウォールや公開サーバに対して侵入できないかどうかを確認する。

解説

ペネトレーションテストは、ファイアウォールや公開サーバに対し実際に侵入を試み、防御が突破されないか(脆弱性が悪用可能か)を確認する目的の検査。よってエが正解。脆弱性スキャンが網羅的な検出であるのに対し、ペネトレは攻撃者視点で侵入可否を実証する点が特徴。結果は優先度付けと多層防御の改善に活用する。

選択肢ごとの解説

• ア.暗号方式や鍵長の仕様一致確認は設計レビューの範囲で、侵入試験の目的ではない。
• イ.入出力が仕様通りかの確認は機能テストで、攻撃者視点の侵入検査ではなく誤り。
• ウ.単位時間当たり処理セッション数の確認は性能試験で、侵入可否の検証ではない。
• エ.FWや公開サーバへ侵入できるか確認する点がペネトレーションテストの目的で正しい。