情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 平成31年度春期 午前 問18: ペネトレーションテストに該当するものはどれか。

問題本文

ペネトレーションテストに該当するものはどれか。

選択肢

• ア.検査対象の実行プログラムの設計書，ソースコードに着目し，開発プロセスの各工程にセキュリティ上の問題がないかどうかをツールや目視で確認する。
• イ.公開Webサーバの各コンテンツファイルのハッシュ値を管理し，定期的に各ファイルから生成したハッシュ値と一致するかどうかを確認する。
• ウ.公開Webサーバや組織のネットワークの脆弱性を探索し，サーバに実際に侵入できるかどうかを確認する。
• エ.内部ネットワークのサーバやネットワーク機器のIPFIX情報から，各PCの通信に異常な振る舞いがないかどうかを確認する。

正解

ウ. 公開Webサーバや組織のネットワークの脆弱性を探索し，サーバに実際に侵入できるかどうかを確認する。

解説

ペネトレーションテスト（侵入テスト）は、攻撃者の視点で対象システムやネットワークの脆弱性を探索し、実際に擬似攻撃を仕掛けて侵入できるかどうかを確認するセキュリティ検査である。よって、脆弱性を探索し実際に侵入できるか確認するとしたウが正解である。

選択肢ごとの解説

• ア.設計書やソースコードを確認し開発工程の問題を探すのはソースコードレビュー（静的解析）であり、侵入テストではない。
• イ.ファイルのハッシュ値を定期照合して改ざんを検知するのは完全性監視（改ざん検知）であり、侵入テストではない。
• ウ.脆弱性を探索し実際にサーバへ侵入できるかを検証する記述で、ペネトレーションテストそのものであり正しい。
• エ.IPFIXのフロー情報から通信の異常な振る舞いを確認するのはトラフィック監視・異常検知であり、侵入テストではない。