情報処理安全確保支援士試験 情報処理安全確保支援士試験 平成30年度春期 午前Ⅰ 問14: ファジングに該当するものはどれか。
←情報処理安全確保支援士試験 平成30年度春期 午前Ⅰ
に該当するものはどれか。
選択肢
- ア.サーバにFINパケットを送信し,サーバからの応答を観測して,稼働しているサービスを見つけ出す。
- イ.サーバのOSやアプリケーションソフトが生成したログやコマンド履歴などを解析して,ファイルサーバに保存されているファイルの改ざんを検知する。
- ウ.ソフトウェアに,問題を引き起こしそうな多様なデータを入力し,挙動を監視して,脆弱性を見つけ出す。
- エ.ネットワーク上を流れるパケットを収集し,そのプロトコルヘッダやデータを解析して,あらかじめ登録された攻撃パターンと一致した場合は不正アクセスと判断する。
正解
ウ. ソフトウェアに,問題を引き起こしそうな多様なデータを入力し,挙動を監視して,脆弱性を見つけ出す。
解説
ファジングは、想定外・異常値を含む多様なデータをソフトウェアに大量入力し、クラッシュや異常動作を観測して未知の脆弱性を洗い出す動的テスト手法。挙動を監視して脆弱性を見つけるウが正解。設計書に依らずブラックボックス的に粗探しできるのが特徴で、製品出荷前の堅牢性検証に用いられる。
選択肢ごとの解説
- ア.FINパケットへの応答で稼働サービスを探るのはポートスキャンの説明で誤り。
- イ.ログやコマンド履歴の解析で改ざんを検知するのは改ざん検知の説明でファジングではなく誤り。
- ウ.問題を起こしそうな多様なデータを入力し挙動から脆弱性を見つける記述がファジングそのもので正解。
- エ.登録済み攻撃パターンとの一致で不正検知するのはシグネチャ型IDSの説明で誤り。
情報処理安全確保支援士試験 平成30年度春期 午前Ⅰ の過去問一覧へ戻る・問14