情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和5年度春期 午前Ⅱ 問22: IoT 機器のペネトレーションテスト(Penetration Test)の説明として,適切なものはどれか。
←情報処理安全確保支援士試験 令和5年度春期 午前Ⅱ
機器の(Penetration Test)の説明として,適切なものはどれか。
選択肢
- ア.開発の最終段階に,IoT 機器と通信対象となるサーバ及びネットワーク全体の動作が仕様書どおりであることをテストする。
- イ.回路図,ソースコードなどのシステムの内部構造を参照して,仕様確認のためのテストを行う。
- ウ.恒温恒湿器を用いて,要求仕様で定められた温湿度条件で動作するかどうか,耐久性はどうかをテストする。
- エ.ネットワーク,バス,デバッグインタフェースなどの脆弱性を利用して,IoT 機器への攻撃と侵入を試みるテストを行う。
正解
エ. ネットワーク,バス,デバッグインタフェースなどの脆弱性を利用して,IoT 機器への攻撃と侵入を試みるテストを行う。
解説
ペネトレーションテストは、実際に攻撃者の視点で脆弱性を悪用してシステムへ侵入できるかを検証するテスト。IoT機器ではネットワークや内部バス、デバッグインタフェース(JTAG/UART等)など物理・論理の弱点を突いて侵入を試みる。よってエが正解。仕様適合確認の結合テスト、内部構造を見るホワイトボックス試験、環境耐久試験とは目的が異なる。実務では出荷前に実機への攻撃耐性を確認し、リスクを洗い出す。
選択肢ごとの解説
- ア.仕様どおり動くかを確認するのは結合・システムテストで、侵入を試みるペネトレーションテストではなく誤り。
- イ.内部構造を参照して仕様確認するのはホワイトボックステストで、侵入試験とは目的が異なり誤り。
- ウ.温湿度や耐久を見るのは環境試験で、攻撃耐性を検証するペネトレーションテストではなく誤り。
- エ.バスやデバッグインタフェース等の脆弱性を突き侵入を試みる点がペネトレーションテストで正しい。
情報処理安全確保支援士試験 令和5年度春期 午前Ⅱ の過去問一覧へ戻る・問22