令和2年度 秋期 プロジェクトマネージャ試験 午前II 問25
【問題25】
脆弱性検査手法の一つであるファジングはどれか。
既知の脆弱性に対するシステムの対応状況に注目し、システムに導入されているソフトウェアのバージョン及びパッチの適用状況の検査を行う。
ソフトウェアの、データの入出力に注目し、問題を引き起こしそうなデータを大量に多様なパターンで入力して挙動を観察し、脆弱性を見つける。
ベンダや情報セキュリティ関連機関が提供するセキュリティアドバイザリなどの最新のセキュリティ情報に注目し、ソフトウェアの脆弱性の検査を行う。
ホワイトボックス検査の一つであり、ソフトウェアの内部構造に注目し、ソースコードの構文をチェックすることによって脆弱性を見つける。
【解説】
ア: 既知の脆弱性に対するシステムの対応状況に注目し、システムに導入されているソフトウェアのバージョン及びパッチの適用状況の検査を行う。
誤り。これはバージョン管理やパッチ適用状況の確認に該当し、ファジングとは異なります。
イ: ソフトウェアの、データの入出力に注目し、問題を引き起こしそうなデータを大量に多様なパターンで入力して挙動を観察し、脆弱性を見つける。
正しい。ファジングは無作為または特定のパターンに基づく大量の入力を用いて、ソフトウェアの異常動作やクラッシュを検出する手法です。
ウ: ベンダや情報セキュリティ関連機関が提供するセキュリティアドバイザリなどの最新のセキュリティ情報に注目し、ソフトウェアの脆弱性の検査を行う。
誤り。これはセキュリティアドバイザリに基づく対応であり、ファジングではありません。
エ: ホワイトボックス検査の一つであり、ソフトウェアの内部構造に注目し、ソースコードの構文をチェックすることによって脆弱性を見つける。
誤り。ホワイトボックス検査はコードレビューや静的解析に該当し、ファジングとは異なります。
【答え】
イ: ソフトウェアの、データの入出力に注目し、問題を引き起こしそうなデータを大量に多様なパターンで入力して挙動を観察し、脆弱性を見つける。
出典:令和2年度 秋期 プロジェクトマネージャ試験 午前II 問25