情報処理安全確保支援士試験 情報処理安全確保支援士試験 平成30年度秋期 午前Ⅰ 問15: 脆弱性検査手法の一つであるファジングはどれか。
←情報処理安全確保支援士試験 平成30年度秋期 午前Ⅰ
脆弱性検査手法の一つであるはどれか。
問題本文
脆弱性検査手法の一つであるファジングはどれか。
選択肢
- ア.既知の脆弱性に対するシステムの対応状況に注目し,システムに導入されているソフトウェアのバージョン及びパッチの適用状況の検査を行う。
- イ.ソフトウェアのデータの入出力に注目し,問題を引き起こしそうなデータを大量に多様なパターンで入力して挙動を観察し,脆弱性を見つける。
- ウ.ベンダや情報セキュリティ関連機関が提供するセキュリティアドバイザリなどの最新のセキュリティ情報に注目し,ソフトウェアの脆弱性の検査を行う。
- エ.ホワイトボックス検査の一つであり,ソフトウェアの内部構造に注目し,ソースコードの構文をチェックすることによって脆弱性を見つける。
正解
イ. ソフトウェアのデータの入出力に注目し,問題を引き起こしそうなデータを大量に多様なパターンで入力して挙動を観察し,脆弱性を見つける。
解説
ファジングは、問題を引き起こしそうな異常値や予期しないデータを大量・多様に入力し、ソフトウェアの挙動(クラッシュや異常終了)を観察して未知の脆弱性を発見する手法。入出力部分に着目する動的検査で、イが正解。実務ではプロトコル実装やパーサの堅牢性検証に用いられ、開発者が想定しない入力に対する耐性を炙り出す有効な手段となる。
選択肢ごとの解説
- ア.バージョンやパッチ適用状況を調べるのは構成・脆弱性管理で、ファジングではなく誤り。
- イ.多様な異常データを入力し挙動を観察して脆弱性を見つける手法がファジングで正しい。
- ウ.アドバイザリ等の情報を基に検査するのは情報収集型の確認で、ファジングとは異なり誤り。
- エ.ソースコードの構文を調べるのは静的解析(ホワイトボックス検査)で、ファジングではなく誤り。
情報処理安全確保支援士試験 平成30年度秋期 午前Ⅰ の過去問一覧へ戻る・問15