セキュリティ
ペネトレーションテストに該当するものはどれか。
ア.検査対象の実行プログラムの設計書、ソースコードに着目し、開発プロセスの各 工程にセキュリティ上の問題がないかどうかをツールや目視で確認する。
イ.公開Webサーバの各コンテンツファイルのハッシュ値を管理し、定期的に各ファイルから生成したハッシュ値と一致するかどうかを確認する。
ウ.公開Webサーバや組織のネットワークの脆弱性を探索し、サーバに実際に侵入で きるかどうかを確認する。正解
エ.内部ネットワークのサーバやネットワーク機器の IPFIX 情報から、各 PC の通信 に異常な振る舞いがないかどうかを確認する。
解説
ペネトレーションテストとは「本物の泥棒役を雇って、実際に家に侵入できるか試してもらう」セキュリティ検査。設計書を読むだけでも、カギの一覧を作るだけでもなく、「実際に突破できるか」を体当たりで確かめるのが核心です。
なぜ ウ が正解か
ウが正解。ペネトレーション(侵入)テストの名の通り、脆弱性を見つけるだけでなく「実際にサーバへ侵入できるか」まで試みるのがポイントです。建物の鍵穴を眺めて「弱そうだな」と報告するのが脆弱性スキャン、実際にピッキングして中に入ってみせるのがペネトレーションテスト。「試みる」という能動的な実証がこの手法の本質です。
出典: 基本情報技術者試験 令和6年 公開問題