セキュリティ
ペネトレーションテストの手法について正しいものはどれか。
ア.ブラックボックステストのみが正式な手法とされ、内部情報を事前に共有することは許可されていない
イ.自動スキャンツールだけで完全なペネトレーションテストが実施できる
ウ.テスト対象の情報量によりブラックボックス・グレーボックス・ホワイトボックスの3種類に分類され、それぞれ異なる前提条件と検出能力を持つ正解
エ.ペネトレーションテストは必ず本番環境で実施し、実際のシステムへの影響を確認することが求められる
解説
ペネトレーションテストの3分類は「探偵の捜査方法」みたいなもの。ブラックボックスは「手がかりゼロから始める名探偵」(本物の攻撃者視点)、グレーボックスは「部分的な地図を持つ探偵」(内部者的攻撃)、ホワイトボックスは「全設計図・ソースコードを持つ探偵」(徹底的なコードレビュー)。目的と予算で選ぶ!
なぜ ウ が正解か
ペネトレーションテストの3種類:①ブラックボックス:事前情報なし(ドメイン名のみ等)→外部攻撃者視点・時間が長くかかる②グレーボックス:部分情報(システム概要・認証情報の一部)→内部犯・取引先からの攻撃を想定・効率的③ホワイトボックス:完全情報(ソースコード・設計書・全認証情報)→論理的脆弱性を深く検査・最も網羅的。フェーズ:情報収集→スキャン→脆弱性評価→攻撃→ポストエクスプロイテーション→報告書作成。
出典: AI生成問題(学習用)