令和5年春期試験問題 午前Ⅱ 問22

IoT機器のペネトレーションテスト(Penetration Test)の説明として,適切なものはどれか。

  • 開発の最終段階に,IoT機器と通信対象となるサーバ及びネットワーク全体の動作が仕様書どおりであることをテストする。
  • 回路図,ソースコードなどのシステムの内部構造を参照して,仕様確認のためのテストを行う。
  • 恒温恒湿器を用いて,要求仕様で定められた温湿度条件で動作するかどうか,耐久性はどうかをテストする。
  • ネットワーク,バス,デバッグインタフェースなどの脆弱性を利用して,IoT機器への攻撃と侵入を試みるテストを行う。
正解 問題へ
分野:テクノロジ系
中分類:システム開発技術
小分類:システム結合・適格性テスト
解説
ペネトレーションテストは、サイバー攻撃による不具合を防ぐためにネットワークに接続されている機器や情報システムに対して、攻撃者目線での検証を行うテストです。侵入テストとも呼ばれます。

近年、家庭の住宅設備や家電、個人が日常的に使うウェアラブル機器などIoT機器が日常生活に深く浸透しており、IoT機器を踏み台としたサイバー攻撃が年々増加しています。情報システム開発だけでなくIoT機器開発においても綿密なセキュリティ対策の検討が必要であり、適切なペネトレーションテストの実施は必須となります。
  • IoT機器とサーバ及びネットワーク間のインタフェースとなるAPIの動作確認を行うAPIテストの説明です。
  • 内部構造をもとにテストを行う構造テストの説明です。
  • 温度と湿度を一定に保つ高温高湿器で行う動作確認や耐久性テストの説明です。
  • 正しい。ペネトレーションテストの説明です。

【参考】
2023年3月にIPAがIoT機器に対する脅威分析・脆弱性への対応などを解説した手引き「IoT開発におけるセキュリティ設計の手引き」を発表しており、この中でセキュリティ検討の上で参考となるIoT関連のセキュリティガイドが紹介されています。

紹介されているセキュリティガイドの一つに、インターネットに関連した標準や方針を提供している国際的非営利組織ISOC(Internet SOCiety)が公開している、IoTデバイスとそのデータを安全に保つための一連の戦略的原則をまとめたフレームワーク「IoT Security and Privacy Trust Framework」があります。このフレームワークではIoT機器のセキュリティ関連のアップデート、IoT機器と利用するサーバ間での暗号化についての言及などの他、「脆弱性の影響を容認できるレベルに減少させる為に、IoTサポートサイトは定期的なモニタリングと継続的なサイトセキュリティとサーバ設定の改善を行わなければならない。少なくとも年2回はペネトレーションテストの実施を行う」ことを義務としています。

Pagetop