セキュリティ
ペネトレーションテストの説明として、最も適切なものはどれか。
ア.システムの脆弱性情報をデータベースと照合して既知の脆弱性が存在するか自動スキャンする手法
イ.セキュリティ専門家が実際の攻撃者と同じ手法でシステムへの侵入を試み、実際に悪用可能な脆弱性を発見する手法正解
ウ.ファイアウォールのログを分析して不正アクセスの痕跡を調査する手法
エ.ソースコードを静的に解析してセキュリティ上の欠陥を発見する手法
解説
ペネトレーションテストは「雇われ泥棒に本当に侵入してもらうリハーサル」。脆弱性スキャナが「鍵が古い」と報告するだけなのに対し、ペネトレーションテストは「実際にその鍵を使って入れました」まで確認します。
なぜ イ が正解か
ペネトレーションテスト(侵入テスト)は、セキュリティ専門家が実際の攻撃者と同じツール・技法を用いてシステムへの侵入を試みる手法です。脆弱性が「理論上存在する」だけでなく「実際に悪用できる」かどうかを確認できる点が特徴です。事前に範囲・ルールを合意した上で実施します。
出典: AI生成問題(学習用)