- トップページ
- プロジェクトマネージャ 午前2
- 令和5年度秋季問題一覧
- 令和5年度秋季問題25-解答・解説-分析
令和5年度秋季問題
問題25
脆弱性検査手法の一つであるファジングはどれか。
| ア | 既知の脆弱性に対するシステムの対応状況に注目し,システムに導入されているソフトウェアのバージョン及びパッチの適用状況の検査を行う。 |
| イ | ソフトウェアの,データの入出力に注目し,問題を引き起こしそうなデータを大量に多様なパターンで入力して挙動を観察し,脆弱性を見つける。 |
| ウ | ソフトウェアの内部構造に注目し,ソースコードの構文をチェックすることによって脆弱性を見つける。 |
| エ | ベンダーや情報セキュリティ関連機関が提供するセキュリティアドバイザリなどの最新のセキュリティ情報に注目し,ソフトウェアの脆弱性の検查を行う。 |
脆弱性検査手法の一つであるファジングはどれか。
| ア | 既知の脆弱性に対するシステムの対応状況に注目し,システムに導入されているソフトウェアのバージョン及びパッチの適用状況の検査を行う。 |
| イ | ソフトウェアの,データの入出力に注目し,問題を引き起こしそうなデータを大量に多様なパターンで入力して挙動を観察し,脆弱性を見つける。 |
| ウ | ソフトウェアの内部構造に注目し,ソースコードの構文をチェックすることによって脆弱性を見つける。 |
| エ | ベンダーや情報セキュリティ関連機関が提供するセキュリティアドバイザリなどの最新のセキュリティ情報に注目し,ソフトウェアの脆弱性の検查を行う。 |
解答:イ
<解説>
ファジングとは、ソフトウェアテストの手法の一つで、ファズ(fuzz)と呼ばれる通常想定されていない「不正データ」「予期せぬデータ」「ランダムなデータ」を対象の製品・システムに与え意図的に例外を発生させ、潜在的なバグ・脆弱性を検出する手法である。
入力検証不足やバッファオーバーフローなど、未知の脆弱性を効率的に発見できるため、セキュリティテストの重要な技法として用いられる。
| ア | × | バージョンチェックツールを使った検査の説明である。 ソフトウェアのバージョンやパッチ適用状況を確認する手法であり、ファジングの説明ではない。 |
| イ | 〇 | ファジングの説明である。ソフトウェアに異常データを大量投入して予期せぬ挙動を誘発させ、未知の脆弱性を検出する。 |
| ウ | × | 静的解析(Static Analysis)の説明である。 ソースコードを実行せずに構文や制御フローを解析し、脆弱性やバグを検出する手法であり、ファジングとは異なる。 |
| エ | × | 脆弱性対策情報データベースなどを活用した検査の説明である。 脆弱性情報を収集・確認して適切に対応する活動であり、ファジングそのものではない。 |
キーワード
- 「ファジング」関連の過去問題・・・ファジングとは
お問い合わせ
