情報セキュリティ

基本情報技術者試験ペネトレーションテスト」の問題

情報セキュリティ情報セキュリティ難易度:hard
F社は脆弱性診断ツールによる網羅的な検査は定期実施しているが、検出された個々の弱点が実際に組み合わさって重要システムへの侵入に至るかを、攻撃者の視点で確かめたいと考えている。この目的に最も適した取組みはどれか。
診断ツールが報告した脆弱性の一覧を、深刻度の高いものから順に並べ替えて整理する。
熟練者が攻撃側に立ち、複数の弱点をつないで目標まで到達できるかを実地に試す。
全従業員にセキュリティ研修を実施し、攻撃の手口に関する知識を共有する。
システムの設定ファイルを点検し、推奨設定との差分を一覧表にまとめる。
正解
熟練者が攻撃側に立ち、複数の弱点をつないで目標まで到達できるかを実地に試す。

ペネトレーションテストは、熟練した技術者が攻撃者になりきって複数の弱点を組み合わせ、実際に重要システムへ到達できるかを試行・実証する手法である。個々の脆弱性が連鎖して侵入経路を成すかを攻撃者視点で確かめたいという目的に合致する。

?選択肢ごとの解説

ア ×脆弱性一覧の並べ替え・整理は静的な情報整理にとどまり、弱点が連鎖して侵入に至るかという到達可能性の実証にはならない。
イ ○ペネトレーションテストは、熟練した技術者が攻撃者になりきって複数の弱点を組み合わせ、実際に重要システムへ到達できるかを試行・実証する手法である。個々の脆弱性が連鎖して侵入経路を成すかを攻撃者視点で確かめたいという目的に合致する。
ウ ×セキュリティ研修は人的対策であり、技術的な侵入経路の検証という今回の目的とは対象が異なる。
エ ×設定ファイルの点検と差分整理は設定の妥当性確認には有用だが、攻撃者視点で実際に侵入を試みる検証ではない。

くわしく

脆弱性診断は『個々の弱点を網羅的に洗い出す』のに対し、ペネトレーションテストは『弱点を組み合わせて目標へ到達できるかを実証する』点で目的が異なる。前者は広く浅く、後者は攻撃シナリオに沿って深く掘る。両者は補完関係にある。

本番での押さえどころ

試験のコツ

『弱点を組み合わせ攻撃者視点で侵入到達を実証』ならペネトレーションテスト。網羅列挙の脆弱性診断とは目的が別。

覚え方

脆弱性診断は『穴の点検』、ペネトレーションテストは『泥棒役が実際に侵入してみる』。後者は到達の実証。

よくある誤り

脆弱性診断とペネトレーションテストを同義と捉える。前者は弱点の網羅列挙、後者は侵入到達の実証という目的の違いを押さえる。

情報セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0114

【基本情報技術者試験】ペネトレーションテストの問題 — 解答・解説|ukamiru 過去問