脆弱性検査
情報セキュリティマネジメント試験「ファジング」の問題
検査対象に想定外や異常なデータを大量に送り込み、異常終了などからソフトウェアの欠陥を見つける手法はどれか。
アソースコードを人手で読み合わせて誤りを探すための検査である。
イ異常なデータや想定外の入力を大量に与えて異常終了などから欠陥を発見する検査手法。
ウ処理を高速化するために性能上のボトルネックを計測して、最適化すべき対象を絞り込むための作業である。
エシステムへの正規の負荷を段階的に増やしていき、性能の限界や応答時間の劣化の度合いを測るための検査。
正解
イ.異常なデータや想定外の入力を大量に与えて異常終了などから欠陥を発見する検査手法。
ファジングは予期しない値や境界値、破損データなどを自動生成して大量に投入し、クラッシュやハングといった異常挙動から、入力処理に潜む未知の脆弱性を発見する動的検査手法である。
?選択肢ごとの解説
ア ×人手でコードを読み合わせるのはコードレビューで、異常入力を投入し挙動を観察するファジングとは異なる。
イ ○ファジングは予期しない値や境界値、破損データなどを自動生成して大量に投入し、クラッシュやハングといった異常挙動から、入力処理に潜む未知の脆弱性を発見する動的検査手法である。
ウ ×処理の高速化はチューニングの話で、異常入力で欠陥を見つけるファジングとは目的が異なる。
エ ×正規の負荷を増やして性能を測るのは負荷試験で、異常データで欠陥を探すファジングとは別の検査である。
この問題の「深掘り・誤答の完全解説・試験のコツ・覚え方」はアプリで。
無料ではじめる →情報セキュリティマネジメント試験の全問を、一問ごとにAIの8-ways解説つきで。SRS暗記カード・全真模試・弱点診断まで。まずは無料で。
ukamiru 過去問 · 情報セキュリティマネジメント試験 · sg-a3-w2-0018
