メインコンテンツへ
セキュリティ情報セキュリティ管理

ペネトレーションテストの説明として、最も適切なものはどれか。

ア.システムの脆弱性情報をデータベースと照合して既知の脆弱性が存在するか自動スキャンする手法
イ.セキュリティ専門家が実際の攻撃者と同じ手法でシステムへの侵入を試み、実際に悪用可能な脆弱性を発見する手法正解
ウ.ファイアウォールのログを分析して不正アクセスの痕跡を調査する手法
エ.ソースコードを静的に解析してセキュリティ上の欠陥を発見する手法

解説

ペネトレーションテストは「雇われ泥棒に本当に侵入してもらうリハーサル」。脆弱性スキャナが「鍵が古い」と報告するだけなのに対し、ペネトレーションテストは「実際にその鍵を使って入れました」まで確認します。

なぜ イ が正解か

ペネトレーションテスト(侵入テスト)は、セキュリティ専門家が実際の攻撃者と同じツール・技法を用いてシステムへの侵入を試みる手法です。脆弱性が「理論上存在する」だけでなく「実際に悪用できる」かどうかを確認できる点が特徴です。事前に範囲・ルールを合意した上で実施します。

なぜ ア は間違いか

既知の脆弱性をデータベース(CVEなど)と照合して自動スキャンするのは「脆弱性スキャン」です。ペネトレーションテストはスキャン結果を踏まえた上でさらに手動侵入を試みる点で異なります。

なぜ ウ は間違いか

ログを分析して不正アクセスの痕跡を調査するのは「フォレンジック調査」または「ログ監査」です。ペネトレーションテストは事後調査ではなく事前の能動的テストです。

なぜ エ は間違いか

ソースコードを静的に解析する手法は「静的解析(SAST)」です。ペネトレーションテストは動作中のシステムを対象とした動的テストであり、ソースコードを直接見るわけではありません。

出典: AI生成問題(学習用)