平成31年春期試験問題 午前問18

ペネトレーションテストに該当するものはどれか。

  • 検査対象の実行プログラムの設計書,ソースコードに着目し,開発プロセスの各工程にセキュリティ上の問題がないかどうかをツールや目視で確認する。
  • 公開Webサーバの各コンテンツファイルのハッシュ値を管理し,定期的に各ファイルから生成したハッシュ値と一致するかどうかを確認する。
  • 公開Webサーバや組織のネットワークの脆弱性を探索し,サーバに実際に侵入できるかどうかを確認する。
  • 内部ネットワークのサーバやネットワーク機器のIPFIX情報から,各PCの通信に異常な振る舞いがないかどうかを確認する。
正解 問題へ
分野:テクノロジ系
中分類:セキュリティ
小分類:セキュリティ技術評価
解説
ペネトレーションテストは、ネットワークに接続されているシステムに対して、実際に様々な方法で侵入を試みることで脆弱性の有無を検査するテストです。
大別すればOSやサーバソフトウェアに対して実施されるものと、Webアプリケーションに対して実施されるものがあり、それぞれ以下の項目が代表的な検査対象となります。
18.gif
したがって「ウ」が適切です。
  • レビューに該当します。
  • ファイルチェックサム検証ツールを使用した検査に該当します。
  • 正しい。ペネトレーションテストに該当します。
  • IPトラフィック情報を収集するNetFlowを使用したネットワーク検査に該当します。

Pagetop