基本情報技術者試験「ペネトレーションテスト」の問題
F社は脆弱性診断ツールによる網羅的な検査は定期実施しているが、検出された個々の弱点が実際に組み合わさって重要システムへの侵入に至るかを、攻撃者の視点で確かめたいと考えている。この目的に最も適した取組みはどれか。
ア診断ツールが報告した脆弱性の一覧を、深刻度の高いものから順に並べ替えて整理する。
イ熟練者が攻撃側に立ち、複数の弱点をつないで目標まで到達できるかを実地に試す。
ウ全従業員にセキュリティ研修を実施し、攻撃の手口に関する知識を共有する。
エシステムの設定ファイルを点検し、推奨設定との差分を一覧表にまとめる。
正解
イ.熟練者が攻撃側に立ち、複数の弱点をつないで目標まで到達できるかを実地に試す。
ペネトレーションテストは、熟練した技術者が攻撃者になりきって複数の弱点を組み合わせ、実際に重要システムへ到達できるかを試行・実証する手法である。個々の脆弱性が連鎖して侵入経路を成すかを攻撃者視点で確かめたいという目的に合致する。
?選択肢ごとの解説
ア ×脆弱性一覧の並べ替え・整理は静的な情報整理にとどまり、弱点が連鎖して侵入に至るかという到達可能性の実証にはならない。
イ ○ペネトレーションテストは、熟練した技術者が攻撃者になりきって複数の弱点を組み合わせ、実際に重要システムへ到達できるかを試行・実証する手法である。個々の脆弱性が連鎖して侵入経路を成すかを攻撃者視点で確かめたいという目的に合致する。
ウ ×セキュリティ研修は人的対策であり、技術的な侵入経路の検証という今回の目的とは対象が異なる。
エ ×設定ファイルの点検と差分整理は設定の妥当性確認には有用だが、攻撃者視点で実際に侵入を試みる検証ではない。
✎くわしく
脆弱性診断は『個々の弱点を網羅的に洗い出す』のに対し、ペネトレーションテストは『弱点を組み合わせて目標へ到達できるかを実証する』点で目的が異なる。前者は広く浅く、後者は攻撃シナリオに沿って深く掘る。両者は補完関係にある。
✓本番での押さえどころ
試験のコツ
『弱点を組み合わせ攻撃者視点で侵入到達を実証』ならペネトレーションテスト。網羅列挙の脆弱性診断とは目的が別。
覚え方
脆弱性診断は『穴の点検』、ペネトレーションテストは『泥棒役が実際に侵入してみる』。後者は到達の実証。
よくある誤り
脆弱性診断とペネトレーションテストを同義と捉える。前者は弱点の網羅列挙、後者は侵入到達の実証という目的の違いを押さえる。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0114