ペネトレーションテスト|情報処理安全確保支援士試験 令和5年春期午前Ⅱ 問22
出典:令和5年春期 午前Ⅱ 問22
分野:システム開発技術 / 統合・テスト
IoT機器のペネトレーションテスト(Penetration Test)の説明として,適切なものはどれか。
- ア:開発の最終段階に,IoT機器と通信対象となるサーバ及びネットワーク全体の動作が仕様書どおりであることをテストする。
- イ:回路図,ソースコードなどのシステムの内部構造を参照して,仕様確認のためのテストを行う。
- ウ:恒温恒湿器を用いて,要求仕様で定められた温湿度条件で動作するかどうか,耐久性はどうかをテストする。
- エ:ネットワーク,バス,デバッグインタフェースなどの脆弱性を利用して,IoT機器への攻撃と侵入を試みるテストを行う。
TSUNAGARU-ADVICE
まず押さえたいこと
ペネトレーションテストは、実際の攻撃者の視点でシステムに侵入できるかを試すテストです。IoT機器では、ネットワーク・バス・デバッグインタフェースなどの弱点を利用して攻撃を試みる点が特徴です。
迷ったときの判断軸
仕様どおりに動くかを確認するのは機能テスト、内部構造を見て確認するのはホワイトボックステスト、温湿度条件で確認するのは環境試験です。ペネトレーションテストは、脆弱性を突いて侵入や攻撃が可能かを確認するテストと整理すると判断しやすくなります。
科目Bにつなげるために
科目Bでは、IoT機器のセキュリティ評価で、通常の動作確認と攻撃視点の確認を切り分ける力が問われます。ペネトレーションテストは、想定される攻撃経路から実際に侵入を試すことでリスクを確認する手法として理解しておきましょう。
ペネトレーションテストは、実際の攻撃者に近い観点で、対象システムへの侵入や攻撃を試み、脆弱性の有無や影響を確認するテストです。
IoT機器では、ネットワーク経由の攻撃だけでなく、内部バス・デバッグインタフェース・ファームウェア?管理画面などが攻撃対象になることがあります。
したがって、ネットワークやデバッグインタフェースなどの脆弱性を利用して、IoT機器への攻撃と侵入を試みる、エが適切です。
❌他選択肢が誤りの理由ア:開発の最終段階に,IoT機器と通信対象となるサーバ及びネットワーク全体の動作が仕様書どおりであることをテストする。
⇒総合テストやシステムテストの説明です。仕様書どおりに動作するかを確認することが中心であり、攻撃者の視点で侵入を試みるペネトレーションテストとは目的が異なります。
イ:回路図,ソースコードなどのシステムの内部構造を参照して,仕様確認のためのテストを行う。
⇒ホワイトボックステストの説明です。内部構造を参照してテストする点はセキュリティ検証でも使われることがありますが、問題文の「攻撃と侵入を試みる」ペネトレーションテストそのものの説明ではありません。
ウ:恒温恒湿器を用いて,要求仕様で定められた温湿度条件で動作するかどうか,耐久性はどうかをテストする。
⇒環境試験や耐久試験の説明です。温湿度などの物理的環境に対する動作確認であり、脆弱性を利用した攻撃・侵入の可否を確認するテストではありません。