情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 科目A サンプル問題 問30: Web サーバの検査におけるポートスキャナの利用目的はどれか。
←情報セキュリティマネジメント試験 科目A サンプル問題
Web サーバの検査におけるの利用目的はどれか。
問題本文
Web サーバの検査におけるポートスキャナの利用目的はどれか。
選択肢
- ア.Web サーバで稼働しているサービスを列挙して,不要なサービスが稼働していないことを確認する。
- イ.Web サーバの利用者 ID の管理状況を運用者に確認して,情報セキュリティポリシからの逸脱がないことを調べる。
- ウ.Web サーバへのアクセスの履歴を解析して,不正利用を検出する。
- エ.正規の利用者 ID でログインし,Web サーバのコンテンツを直接確認して,コンテンツの脆弱性を検出する。
正解
ア. Web サーバで稼働しているサービスを列挙して,不要なサービスが稼働していないことを確認する。
解説
ポートスキャナは,対象サーバの各ポートに接続を試みて,どのポートが開いており,どのサービスが稼働しているかを調べるツールである。これにより,不要に開いているポートや稼働中の余計なサービスを発見し,攻撃対象となる箇所(アタックサーフェス)を減らす検査に利用できる。正解はアで,稼働サービスを列挙して不要なサービスがないか確認するのがポートスキャナの利用目的である。
選択肢ごとの解説
- ア.正しい。開いているポートと稼働サービスを列挙し,不要なサービスが動いていないかを確認できる。
- イ.誤り。利用者 ID の管理状況の確認は運用管理やヒアリングで行うものであり,ポートを走査するポートスキャナの用途ではない。
- ウ.誤り。アクセス履歴の解析はログ分析の役割であり,ポートスキャナの機能ではない。
- エ.誤り。ログインしてコンテンツを直接確認する手法はポートスキャナの機能ではなく,Web アプリケーション診断などの別手法である。
情報セキュリティマネジメント試験 科目A サンプル問題 の過去問一覧へ戻る・問30