令和5年度 秋期 プロジェクトマネージャ試験 午前II 問25

【解説】

ア: 既知の脆弱性に対するシステムの対応状況に注目し，システムに導入されているソフトウェアのバージョン及びパッチの適用状況の検査を行う。
誤り。これは脆弱性管理の一環であり，ファジングとは異なります。

イ: ソフトウェアの，データの入出力に注目し，問題を引き起こしそうなデータを大量に多様なパターンで入力して挙動を観察し，脆弱性を見つける。
正しい。ファジングは大量の無効または予期しないデータを入力して，ソフトウェアの異常動作やクラッシュを検出する脆弱性検査手法です。

ウ: ソフトウェアの内部構造に注目し，ソースコードの構文をチェックすることによって脆弱性を見つける。
誤り。これは静的解析（Static Analysis）と呼ばれる手法で，ファジングとは異なります。

エ: ベンダーや情報セキュリティ関連機関が提供するセキュリティアドバイザリなどの最新のセキュリティ情報に注目し，ソフトウェアの脆弱性の検査を行う。
誤り。これは脆弱性情報の収集に該当し，ファジングとは異なります。