※本情報は解説作成時点のもので、閲覧時点では法改正等により情報が変更になっている場合がございます。あらかじめご理解いただければ幸いです。
正解は「C:ペネトレーションテストとは、実際に攻撃を試みて侵入可能かどうかを検証するセキュリティテストです。」です。
この記事では、基本情報技術者試験(FE)試験(令和6年度)で出題された第9問「ペネトレーションテスト」について、試験対策の観点からわかりやすく解説します。
Contents
ペネトレーションテストとは
ペネトレーションテスト=疑似攻撃による侵入可能性の確認
ペネトレーションテストは、攻撃者の視点でシステムやネットワークに侵入を試み、実際にどこまで突破できるかを確認するテストです。
脆弱性の発見だけでなく、実際の侵入可否を検証する点が特徴です。
各選択肢の検討
- A:設計書やソースコードを確認する → セキュリティレビューやコードレビュー
- B:ハッシュ値で改ざん確認 → 完全性チェック
- C:脆弱性を探索し、実際に侵入できるか確認 → ペネトレーションテスト
- D:通信状況から異常を確認 → ログ分析や不正検知
したがって、ペネトレーションテストに該当するのはCです。
問われているポイント
この問題では、各種セキュリティ対策手法の違いを正確に理解しているかが問われています。
「実際に侵入を試みる」という点がキーワードです。
気を付けてほしい点(勘違いしやすいポイント)
- 脆弱性診断とペネトレーションテストは厳密には異なる
- レビューや監査とは目的が違う
補足
ペネトレーションテストは実践的な攻撃シミュレーションである点を押さえておきましょう。
基本情報技術者試験(FE)試験での出題パターン
基本情報技術者試験(FE)試験では、情報セキュリティ分野の基礎用語が頻出です。
用語の定義を具体例とともに理解しておきましょう。
この知識が使われている問題
まとめ
- ペネトレーションテストは疑似攻撃による侵入確認
- レビューや改ざん検知とは目的が異なる