攻撃手法・脅威
情報セキュリティマネジメント試験「ペネトレーションテスト」の問題
実際に攻撃者の手口を模して対象システムへ侵入を試み、防御の有効性を検証する活動はどれか。
ア既知の弱点の有無を網羅的に機械で走査し検出結果を一覧として報告するにとどめる。
イ取得済みのバックアップから障害発生時に失われたデータを復旧する。
ウ利用者へ標的型メールを安易に開かないよう注意喚起の教育を行う。
エ擬似的な攻撃を実際に仕掛けて侵入の可否を試し防御の実効性を検証する。
正解
エ.擬似的な攻撃を実際に仕掛けて侵入の可否を試し防御の実効性を検証する。
ペネトレーションテストは、攻撃者の視点と手法を用いて実際に対象システムへ侵入を試み、防御策が実環境で機能するか、どこまで突破されるかを実証的に検証する活動である。
?選択肢ごとの解説
ア ×脆弱性スキャンの説明で、弱点を機械的に検出して一覧化する活動であり、実際に侵入して有効性を試すペネトレーションテストより踏み込まない。
イ ×バックアップ復旧の説明で、可用性確保が目的でありペネトレーションテストとは無関係である。
ウ ×利用者教育の説明で、注意喚起が目的であり擬似攻撃による検証とは異なる。
エ ○ペネトレーションテストは、攻撃者の視点と手法を用いて実際に対象システムへ侵入を試み、防御策が実環境で機能するか、どこまで突破されるかを実証的に検証する活動である。
攻撃手法・脅威の他の問題
この問題の「深掘り・誤答の完全解説・試験のコツ・覚え方」はアプリで。
無料ではじめる →情報セキュリティマネジメント試験の全問を、一問ごとにAIの8-ways解説つきで。SRS暗記カード・全真模試・弱点診断まで。まずは無料で。
ukamiru 過去問 · 情報セキュリティマネジメント試験 · sg-a1-w3-0012
