情報処理安全確保支援士 平成30年秋期 午前T 問15

午前T 問15

脆弱性検査手法の一つであるファジングはどれか。
  • 既知の脆弱性に対するシステムの対応状況に注目し,システムに導入されているソフトウェアのバージョン及びパッチの適用状況の検査を行う。
  • ソフトウェアのデータの入出力に注目し,問題を引き起こしそうなデータを大量に多様なパターンで入力して挙動を観察し,脆弱性を見つける。
  • ベンダや情報セキュリティ関連機関が提供するセキュリティアドバイザリなどの最新のセキュリティ情報に注目し,ソフトウェアの脆弱性の検査を行う。
  • ホワイトボックス検査の一つであり,ソフトウェアの内部構造に注目し,ソースコードの構文をチェックすることによって脆弱性を見つける。
  • [この問題の出題歴]
  • 応用情報技術者
    平成30年秋期 問43と同題

分類

テクノロジ系 » セキュリティ » セキュリティ技術評価

正解

解説

ファジング(fuzzing)とは、検査対象のソフトウェア製品に「ファズ(英名:fuzz)」と呼ばれる問題を引き起こしそうなデータを大量に送り込み、その応答や挙動を監視することで(未知の)脆弱性を検出する検査手法です。
am1/43.gif/image-size:454×224
ファジングは、ファズデータの生成、検査対象への送信、挙動の監視を自動で行うファジングツール(ファザー)と呼ばれるソフトウェアを使用して行います。開発ライフサイクルにファジングを導入することで「バグや脆弱性の低減」「テストの自動化・効率化によるコスト削減」が期待できるため、大手企業の一部で徐々に活用され始めています。
  • バージョンチェックツールの説明です。
  • 正しい。ファジングの説明です。
  • JVNなどが提供する脆弱性対策情報データベースなどを活用した検査です。
  • ソースコードセキュリティ検査ツールの説明です。
参考URL: IPA 脆弱性対策:ファジング
 http://www.ipa.go.jp/security/vuln/fuzzing.html
© 2014-2018 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop