セキュリティ技術評価(全16問中9問目)
No.9解説へ
脆弱性検査手法の一つであるファジングはどれか。
出典:平成28年秋期 問45
- 既知の脆弱性に対するシステムの対応状況に注目し,システムに導入されているソフトウェアのバージョン及びパッチの適用状況の検査を行う。
- ソフトウェアのデータの入出力に注目し,問題を引き起こしそうなデータを大量に多様なパターンで入力して挙動を観察し,脆弱性を見つける。
- ソフトウェアの内部構造に注目し,ソースコードの構文を機械的にチェックするホワイトボックス検査を行うことによって脆弱性を見つける。
- ベンダーや情報セキュリティ関連機関が提供するセキュリティアドバイザリなどの最新のセキュリティ情報に注目し,ソフトウェアの脆弱性の検査を行う。
正解 イ問題へ
広告
解説
ファジング(fuzzing)とは、検査対象のソフトウェア製品に「ファズ(英名:fuzz)」と呼ばれる問題を引き起こしそうなデータを大量に送り込み、その応答や挙動を監視することで(未知の)脆弱性を検出する検査手法です。
ファジングは、ファズデータの生成、検査対象への送信、挙動の監視を自動で行うファジングツール(ファザー)と呼ばれるソフトウェアを使用して行います。開発ライフサイクルにファジングを導入することで「バグや脆弱性の低減」「テストの自動化・効率化によるコスト削減」が期待できるため、大手企業の一部で徐々に活用され始めています。
https://www.ipa.go.jp/security/vuln/fuzzing/contents.html
- バージョンチェックツールの説明です。
- 正しい。ファジングの説明です。
- ソースコードセキュリティ検査ツールの説明です。
- JVNなどが提供する脆弱性対策情報データベースを用いた検査です。
https://www.ipa.go.jp/security/vuln/fuzzing/contents.html