ペネトレーションテストに該当するものはどれか。
- 検査対象の実行プログラムの設計書,ソースコードに着目し,開発プロセスの各工程にセキュリティ上の問題がないかどうかをツールや目視で確認する。
- 公開Webサーバの各コンテンツファイルのハッシュ値を管理し,定期的に各ファイルから生成したハッシュ値と一致するかどうかを確認する。
- 公開Webサーバや組織のネットワークの脆弱性を探索し,サーバに実際に侵入できるかどうかを確認する。
- 内部ネットワークのサーバやネットワーク機器のIPFIX情報から,各PCの通信に異常な振る舞いがないかどうかを確認する。
解答
ウ
解説
- 検査対象の実行プログラムの設計書,ソースコードに着目し,開発プロセスの各工程にセキュリティ上の問題がないかどうかをツールや目視で確認する。
ソースコードレビューに該当します。 - 公開Webサーバの各コンテンツファイルのハッシュ値を管理し,定期的に各ファイルから生成したハッシュ値と一致するかどうかを確認する。
改竄検知ツール(機能)に該当します。 - 公開Webサーバや組織のネットワークの脆弱性を探索し,サーバに実際に侵入できるかどうかを確認する。
ペネトレーションテストに該当します。 - 内部ネットワークのサーバやネットワーク機器のIPFIX情報から,各PCの通信に異常な振る舞いがないかどうかを確認する。
ログ分析・監視ツール(機能)に該当します。
なお,IPFIX(IP Flow Information Export)は,ネットワークトラフィックの監視や分析に用いられるプロトコルのひとつです。
参考情報
分野・分類
分野 | テクノロジ系 |
大分類 | 技術分野 |
中分類 | セキュリティ |
小分類 | セキュリティ技術評価 |
出題歴
- SG 平成31年度春期 問18