ITパスポート試験 / 平成28年度 秋期 ITパスポート試験 公開問題 / 問73
certification-simodake-work

平成28年度 秋期 ITパスポート試験 公開問題 問73 解説 ペネトレーションテスト

インターネット経由で行うペネトレーションテストで見つけられる脆弱性の例として,適切なものはどれか。

  1. ア 外部ネットワークから公開サーバへの不正侵入口 ✓ 正答
  2. イ 記録媒体による機密情報の持出し
  3. ウ 社内のネットワークに接続しようとするPCのウイルス感染
  4. エ セキュリティで保護された部屋への不正な入室経路

解説

ペネトレーションテストと脆弱性の種類

この問題は、ペネトレーションテストの目的と、インターネット経由で行われるテストで発見できる脆弱性の種類を理解しているかを問うています。

解き方のポイント:

ペネトレーションテストは、システムに実際に侵入を試みることで、セキュリティ上の弱点(脆弱性)を見つけ出す手法です。インターネット経由で行うペネトレーションテストは、外部からアクセスできる範囲のシステムを対象とします。この点を踏まえて、各選択肢が「外部からの侵入」という観点に合致するかどうかを判断します。

ペネトレーションテストとは?

ペネトレーションテスト(侵入テスト)は、サイバー攻撃者が利用しうる攻撃手法を用いて、情報システムやネットワークのセキュリティ上の脆弱性を発見し、そのリスクを評価するテストです。単に脆弱性をリストアップするだけでなく、実際にシステムに侵入できるかどうか、侵入できた場合にどこまで情報にアクセスできるかなどを検証することで、より実践的なセキュリティ対策の立案に役立てられます。

ペネトレーションテストには、テスト対象の範囲や方法によっていくつかの種類があります。

  • 外部ネットワークからのペネトレーションテスト(External Penetration Test): 組織の外部(インターネット側)から、公開されているサーバやネットワーク機器などを対象に実施されます。外部からの攻撃者の視点で、不正侵入の経路や公開されている情報の漏洩リスクなどを評価します。
  • 内部ネットワークからのペネトレーションテスト(Internal Penetration Test): 組織の内部ネットワークから、内部のシステムやサーバを対象に実施されます。内部犯行や、既に不正侵入された後の二次被害を防ぐための評価に重点を置きます。
  • ソースコードレビュー(Source Code Review): プログラムのソースコードを直接解析し、設計上の問題やコーディングミスによる脆弱性を発見します。
  • ソーシャルエンジニアリングテスト(Social Engineering Test): 人間の心理的な隙を突いて情報を不正に入手したり、システムへのアクセス権限を騙し取ったりする手法をシミュレーションします。

インターネット経由のペネトレーションテストで発見できる脆弱性

インターネット経由で行われるペネトレーションテストは、まさに外部からの攻撃者の視点に立ったテストです。そのため、外部からアクセス可能な公開サーバなどのセキュリティホール、すなわち「不正侵入口」を見つけ出すことが主な目的となります。

選択肢を見てみましょう。

  • ア 外部ネットワークから公開サーバへの不正侵入口: これは、インターネット経由のペネトレーションテストの典型的な発見対象です。例えば、Webサーバの脆弱性、OSの脆弱性、設定ミスなどにより、外部から不正にアクセスできてしまう箇所を指します。
  • イ 記録媒体による機密情報の持出し: これは物理的なセキュリティや内部不正に関わる問題であり、インターネット経由のネットワークテストの範囲外です。
  • ウ 社内のネットワークに接続しようとするPCのウイルス感染: これは、社内ネットワークへの侵入を試みる、あるいは侵入された後の活動に関連しますが、インターネット経由で「外部から」発見できる脆弱性というよりは、内部での感染拡大や対策の不備を指すことが多いです。また、インターネット経由のテストは、あくまで外部から見える範囲の公開サーバが中心となります。
  • エ セキュリティで保護された部屋への不正な入室経路: これは物理的なセキュリティに関する問題であり、ITシステムへのネットワーク経由の脆弱性とは直接関係ありません。

したがって、インターネット経由のペネトレーションテストで直接見つけられる脆弱性の例として最も適切なのは、「ア 外部ネットワークから公開サーバへの不正侵入口」です。

教育的意図:なぜこの問題が重要なのか

この問題は、ITセキュリティの基本的な考え方、特に「攻撃者の視点」を持つことの重要性を示しています。組織は、自分たちのシステムが外部からどのように見えているかを理解し、想定される攻撃経路を把握しておく必要があります。ペネトレーションテストは、まさにこの「外部からの視点」をシミュレーションし、潜在的なリスクを具体的に洗い出すための有効な手段です。

また、セキュリティ対策はネットワーク上に限定されるものではなく、物理的なセキュリティや人的な側面も重要であることを理解しておく必要があります。この問題では、インターネット経由のペネトレーションテストという特定の文脈を理解することで、他の選択肢がなぜ該当しないのかを明確に判断できることが求められます。

参考リンク

学習の記録にははてなブックマーク!

気づいたこと・覚えたことをコメントにメモしよう

このエントリーをはてなブックマークに追加