基本情報技術者試験の令和6年度の公開問題を解いてみよう。
今回のテーマは、「ペネトレーションテスト」である。
問9 ペネトレーションテストに該当するものはどれか。
ア 検査対象の実行プログラムの設計書、ソースコードに着目し,開発プロセスの各工程にセキュリティ上の問題がないかどうかをツールや目視で確認する。
イ 公開Web サーバの各コンテンツファイルのハッシュ値を管理し、定期的に各ファイルから生成したハッシュ値と一致するかどうかを確認する。
ウ 公開Web サーバや組織のネットワークの脆弱性を探索し、サーバに実際に侵入できるかどうかを確認する。
エ 内部ネットワークのサーバやネットワーク機器のIPFIX 情報から、各PC の通信に異常な振る舞いがないかどうかを確認する。
正解:ウ
ペネトレーションテストとは、企業や組織が利用している(もしくは構築したばかりの)コンピューターシステムに対し、外部からの悪意のある攻撃者がよく用いる方法や技術による侵入を試みて、システムにセキュリティ上のぜい弱性がないかをチェックする手法を指す。
ペネトレーション(Penetration)は「貫通」や「侵入」を意味する言葉である。
(日立ソリューションズ・クリエイトのWebサイトより抜粋)
ア 誤り。
レビューに関する記述である。
イ 誤り。
ファイルチェックサムに関する記述である。
ウ 正しい。
エ 誤り。
NetFlowによるネットワークトラフィック監視に関する記述である。
Internet Protocol Flow Information Export (IPFIX) は、スイッチまたはルーター経由のトラフィック・フローをモニターするアカウンティング・テクノロジーです。 トラフィックを解釈して、使用されているクライアント、サーバー、プロトコル、およびポートを判別します。 また、バイト数およびパケット数をカウントして、そのデータを IPFIX コレクターに送信します。
(IBMのWebサイトより抜粋)
(参考)
令和07年 基本情報技術者 パーフェクトラーニング過去問題集 山本 三雄 (著) 技術評論社
コメント