基本情報技術者試験 令和6年度 科目A 公開問題(過去問) 問9 について解説します。
問題
問9 ペネトレーションテストに該当するものはどれか。
ア 検査対象の実行プログラムの設計書、ソースコードに着目し、開発プロセスの各工程にセキュリティ上の問題がないかどうかをツールや目視で確認する。
イ 公開Webサーバの各コンテンツファイルのハッシュ値を管理し、定期的に各ファイルから生成したハッシュ値と一致するかどうかを確認する。
ウ 公開Webサーバや組織のネットワークの脆弱性を探索し、サーバに実際に侵入できるかどうかを確認する。
エ 内部ネットワークのサーバやネットワーク機器のIPFIX情報から、各PCの通信に異常な振る舞いがないかどうかを確認する。
解説・解答
ペネトレーションテストとは
ペネトレーションテストは、攻撃者の視点でシステム・ネットワーク・アプリケーションの弱点を検証し、実際に侵入可能か/どこまで到達できるかを実験的に確認するセキュリティ評価活動です。単に脆弱性を列挙するだけでなく、脆弱性を悪用してどのような影響(機密漏洩、権限奪取、サービス停止など)が出るかを示す点が特徴です。
それぞれの選択肢について確認します。
ア: 検査対象の実行プログラムの設計書、ソースコードに着目し、開発プロセスの各工程にセキュリティ上の問題がないかどうかをツールや目視で確認する。
この記述はセキュア開発レビュー/コードレビューや静的解析の領域です。攻撃実験は伴いませんのでペネトレーションテスト(侵入テスト)ではありません。
イ: 公開Webサーバの各コンテンツファイルのハッシュ値を管理し、定期的に各ファイルから生成したハッシュ値と一致するかどうかを確認する。
この記述は改ざん検知です。ファイルが変更されていないかを監視する運用管理の仕組みで、侵入可否の実験は伴いませんのでペネトレーションテスト(侵入テスト)ではありません。
ウ: 公開Webサーバや組織のネットワークの脆弱性を探索し、サーバに実際に侵入できるかどうかを確認する。
ペネトレーションテスト(侵入テスト)は、想定される攻撃者の観点で脆弱性を突き、本当に侵入できるか・どこまで到達できるかを実験的に確認するテストです。この記述はペネトレーションテスト(侵入テスト)の定義に合致します。
エ: 内部ネットワークのサーバやネットワーク機器のIPFIX情報から、各PCの通信に異常な振る舞いがないかどうかを確認する。
IPFIXとは「IP Flow Information Export」の略で、ルータやスイッチなどのネットワーク機器が「どのPCがどのサーバと通信したか」「どのくらいの時間通信したか」「使ったポート番号や通信量」といったフロー情報をまとめて記録して監視サーバへ送る仕組みです。
この記述は各機器がエクスポートするフロー情報を集めて、通信量・宛先・通信パターンを分析し、異常な通信(例えば、異常に大量なデータ送信、見慣れない外部との通信、ポートスキャンに似た通信など)がないかを調べる行為を指しています。
このようなネットワークモニタリング/挙動分析の技術は、NDR (Network Detection and Response) や NTA (Network Traffic Analysis) に該当します。
この記述は異常通信の検知や事後分析が目的で、実際に侵入を試みることは行わないので、ペネトレーションテスト(侵入テスト)ではありません。
以上により、この問題の解答は「ウ」になります。
