平成30年 秋期 応用情報技術者 午前 問43

(ぜい)弱性検査手法の一つであるファジングはどれか。

 ア  既知の脆弱性に対するシステムの対応状況に注目し、システムに導入されているソフトウエアのバージョン及びパッチの適用状況の検査を行う。
 イ  ソフトウェアのデータの入出力に注目し、問題を引き起こしそうなデータを大量に多様なパターンで入力して挙動を観察し、脆弱性を見つける。
 ウ  ベンダや情報セキュリティ関連機関が提供するセキュリティアドバイザなどの最新のセキュリティ情報に注目し、ソフトウェアの脆弱性の検査を行う。
 エ  ホワイトボックス検査一つであり、ソフトウェアの内部構造に注目し、ソースコードの構文を機械的にチェックすることによって脆弱性を見つける。


答え イ


解説
ファジングは、ソフトウェアのデータの入出力に注目し、問題を引き起こしそうなデータを大量に多様なパターンで入力して挙動を観察し、脆弱性を見つけます。
ファズ(fuzz)は、“想定外のデータ”のことで、ファジングは、“想定外のデータ”を使ったテスト(fuzz testing)のことです。


キーワード
・ファジング

キーワードの解説
  • ファジング(fuzzing)
    ソフトウェアのバグや脆弱性を検証するためのテスト手法の一種で、エラー成分が含まれた様々な命令パターンを実行させてエラーの発生を調べます。
    テスト手法としては、自動化あるいは半自動化されたブラックボックステストないしはグレーボックステストになります。

もっと、「ファジング」について調べてみよう。

戻る 一覧へ 次へ