情報処理安全確保支援士試験 情報処理安全確保支援士試験 平成31年度春期 午前Ⅱ 問22: 問題を引き起こす可能性があるデータを大量に入力し,そのときの応答や挙動を監視することによって,ソフトウェアの脆弱性を検出するテスト手法はどれか。
←情報処理安全確保支援士試験 平成31年度春期 午前Ⅱ
問題を引き起こす可能性があるデータを大量に入力し,そのときの応答や挙動を監視することによって,ソフトウェアの脆弱性を検出するテスト手法はどれか。
問題本文
問題を引き起こす可能性があるデータを大量に入力し,そのときの応答や挙動を監視することによって,ソフトウェアの脆弱性を検出するテスト手法はどれか。
選択肢
- ア.限界値分析
- イ.実験計画法
- ウ.ファジング
- エ.ロードテスト
解説
ファジングは、想定外や異常な値を含む大量のデータをソフトウェアに入力し、その応答や挙動(クラッシュ・例外・異常終了など)を監視して、未知の脆弱性やバグを検出するテスト手法。ウが正解。実務では製品出荷前の堅牢性検証やプロトコル実装の安全性確認に用いられ、開発者が気付きにくい入力処理の不備をあぶり出す。
選択肢ごとの解説
- ア.限界値分析は境界付近の値を選ぶテスト設計手法で、大量の異常入力で脆弱性を探すファジングではない。
- イ.実験計画法は要因を効率的に検証する統計的手法であり、脆弱性検出のファジングとは異なる。
- ウ.問題を起こしうるデータを大量入力し挙動を監視して脆弱性を検出するというファジングの説明で正解。
- エ.ロードテストは性能・負荷を確認するテストで、脆弱性検出を目的とするファジングではないため誤り。
情報処理安全確保支援士試験 平成31年度春期 午前Ⅱ の過去問一覧へ戻る・問22