平成26年度 秋期 ITパスポート試験 公開問題 問62 解説 ペネトレーションテスト

この問題は、セキュリティテストの手法名と、その具体的な目的を結びつけられるかを問うています。正解のポイントは、ペネトレーション（penetration）が「貫通・侵入」を意味する単語であることを知っているか、あるいは各テスト手法の定義を正確に暗記しているかです。

ペネトレーションテスト（侵入テスト）とは

ペネトレーションテストは、セキュリティ対策が十分に機能しているかを検証するために、専門家が攻撃者の視点に立って実際にシステムへ侵入を試みるテストです。

脆弱性診断という言葉と混同されがちですが、脆弱性診断が「システム内の弱点をリストアップし、網羅的に見つけること」を目的とするのに対し、ペネトレーションテストは「特定の目的に向かって、実際に攻撃を仕掛けて防衛ラインを突破できるか」を重視します。例えるなら、脆弱性診断が「家の鍵が閉まっているか、窓が壊れていないかを確認する点検」であり、ペネトレーションテストは「実際に泥棒役になって窓から侵入を試みる訓練」といえます。

他の選択肢の用語を整理する

選択肢にあるテスト手法は、試験頻出の用語です。混同しないよう整理しましょう。

・イ：負荷テスト（ロードテスト） システムに通常以上のトラフィックやデータ量を流し、処理能力の限界やボトルネックを確認するテストです。ECサイトのセール開始前などに必須となります。

・ウ：回帰テスト（リグレッションテスト） プログラムの修正を行った際、その影響で既存の正常だった機能に不具合が生じていないか（後退していないか）を確認するテストです。修正箇所と無関係と思われる部分もチェックするのが特徴です。

・エ：ユーザビリティテスト 実際のユーザーにシステムを使ってもらい、操作の分かりやすさや使い勝手を評価するテストです。機能の正しさではなく、人間にとっての使いやすさに焦点を当てます。

実務現場での重要性

セキュリティ事故が多発する現代において、ペネトレーションテストは、企業のCSIRT（セキュリティ対応チーム）やセキュリティエンジニアにとって非常に重要な意味を持ちます。

多くの組織ではツールを用いた自動的な脆弱性診断を行っていますが、自動化ツールでは「人間が工夫して複雑な攻撃を組み合わせた場合」の突破までは予測できません。ペネトレーションテストを実施することで、防御側の監視体制や、侵入された際の対応手順（インシデントレスポンス）に不足がないかを実際に確認できます。このテストは、システムを安全に守るための最後の砦とも呼べる実践的な取り組みなのです。

参考リンク

• 【ITパスポート】セキュリティの試験対策まとめ
• ペネトレーションテストを体験してみよう - ハッカーの視点を学ぶ
• 情報セキュリティマネジメントシステム（ISMS）における脆弱性管理と評価の考え方