情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 平成29年度秋期 午前 問30: ファジングの説明はどれか。

問題本文

ファジングの説明はどれか。

選択肢

• ア.社内ネットワークへの接続を要求する PC に対して，マルウェア感染の有無を検査し，セキュリティ要件を満たす PC だけに接続を許可する。
• イ.ソースコードの構文を機械的にチェックし，特定のパターンとマッチングさせることによって，ソフトウェアの脆弱性を自動的に検出する。
• ウ.ソースコードを閲読しながら，チェックリストに従いソフトウェアの脆弱性を検出する。
• エ.問題を引き起こしそうな多様なデータを自動生成し，ソフトウェアに入力したときのソフトウェアの応答や挙動から脆弱性を検出する。

正解

エ. 問題を引き起こしそうな多様なデータを自動生成し，ソフトウェアに入力したときのソフトウェアの応答や挙動から脆弱性を検出する。

解説

ファジング(fuzzing)は、極端な値や想定外の形式を含む多様な検査データ(ファズ)を大量に自動生成してソフトウェアに入力し、その応答や異常な挙動(クラッシュ、メモリリーク等)を観測することで脆弱性を発見するブラックボックス型のテスト手法である。実際に動作させて挙動から脆弱性を検出すると述べた「エ」が正しい。

選択肢ごとの解説

• ア.接続要求する PC のセキュリティ状態を検査して接続可否を判断するのは検疫ネットワーク(検疫システム)の説明であり、ファジングではない。
• イ.ソースコードを実行せずにパターンマッチで脆弱性を検出するのは静的解析(ソースコード解析)の説明である。
• ウ.ソースコードを目視しチェックリストで確認するのはコードレビュー(ソースコードレビュー)であり、ファジングではない。
• エ.正しい。問題を起こしそうな多様なデータを自動生成して入力し、応答や挙動の異常から脆弱性を検出するのがファジングである。