情報セキュリティ

基本情報技術者試験脆弱性診断」の問題

情報セキュリティ情報セキュリティ難易度:hard
J社では、機能テストでアプリを実際に動かしている間に、その内部の処理経路まで把握して脆弱性を高精度に検出したい。静的解析だけでは実行時の挙動を捉えられず、外部からの動的解析だけでは内部の処理を追えない不満があった。この要望に最も合致する診断手法はどれか。
ソースコードを実行せず読み解き、危険なコード記述だけを検出する手法。
稼働中のアプリへ外部から擬似攻撃を送り、応答のみから脆弱性を判定する手法。
運用中の通信パケットを長期間にわたり継続的に収集し、平常時と異なる異常な通信傾向を統計的な分析によって検出する手法。
動作中のアプリに観測用の仕組みを埋め込み、内部を通るデータの流れを見て検出する手法。
正解
動作中のアプリに観測用の仕組みを埋め込み、内部を通るデータの流れを見て検出する手法。

IAST(インタラクティブアプリケーションセキュリティテスト)は、アプリ内部にエージェント等の計装を組み込み、実際に動作している最中の内部処理経路を観測して脆弱性を検出する。実行時挙動と内部情報の両方を使うため、静的解析と外部からの動的解析の弱点を補い高精度に検出できる。

?選択肢ごとの解説

ア ×これはSAST(静的解析)であり、コードを実行しないため実行時の内部処理経路や動的挙動を捉えられず、本要望を満たさない。
イ ×これはDAST(動的解析)で、外部からの応答のみを見るため内部の処理経路は追えず、内部把握という要望に合致しない。
ウ ×通信パケットの統計分析は運用中の通信監視であり、アプリ内部の処理経路を把握して脆弱性を検出する診断手法ではない。
エ ○IAST(インタラクティブアプリケーションセキュリティテスト)は、アプリ内部にエージェント等の計装を組み込み、実際に動作している最中の内部処理経路を観測して脆弱性を検出する。実行時挙動と内部情報の両方を使うため、静的解析と外部からの動的解析の弱点を補い高精度に検出できる。

くわしく

SAST(非実行・コード解析)、DAST(実行・外部攻撃)、IAST(実行・内部計装)は脆弱性診断の三類型である。IASTはアプリの動作中に内部から観測するため、入力が内部でどう処理されるかを追え、偽陽性が少なく検出精度が高い点が特徴である。

本番での押さえどころ

試験のコツ

『実行中に内部処理経路まで観測して高精度検出』はIAST。静的(SAST)・外部動的(DAST)の中間で内部計装が鍵語。

覚え方

IASTは『動かしながら内部にセンサを仕込む』。SASTは静止画、DASTは外から叩く、IASTは中から見る。

よくある誤り

動的=外部からの攻撃と捉え、内部観測という選択肢を見落とす。IASTは『動かしながら内部を見る』点でDASTと区別される。

情報セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0118

【基本情報技術者試験】脆弱性診断の問題 — 解答・解説|ukamiru 過去問