応用情報技術者試験平成30年秋午前問43 解説付き過去問

問題

脆弱性検査手法の一つであるファジングはどれか。

既知の脆弱性に対するシステムの対応状況に注目し、システムに導入されているソフトウェアのバージョン及びパッチの適用状況の検査を行う。

ソフトウェアのデータの入出力に注目し、問題を引き起こしそうなデータを大量に多様なパターンで入力して挙動を観察し、脆弱性を見つける。

ベンダや情報セキュリティ関連機関が提供するセキュリティアドバイザリなどの最新のセキュリティ情報に注目し、ソフトウェアの脆弱性の検査を行う。

ホワイトボックス検査の一つであり、ソフトウェアの内部構造に注目し、ソースコードの構文をチェックすることによって脆弱性を見つける。

この問題は、脆弱性検査手法に関する理解を問うもので、特にファジングの定義と特徴に焦点を当てています。

ファジングの定義
ファジングは、ソフトウェアが異常なデータや予期しないデータにどのように反応するかを調べるために、システムに対して意図的に無効またはランダムなデータを入力する手法です。このプロセスでは、ソフトウェアがクラッシュするか、意図しない方法で動作するかを検出することを目指します。
ファジングの目的と有効性
ファジングは、開発中またはリリース前のソフトウェアの安全性と信頼性を高めるために行われます。ランダムや特異なデータセットを用いることで、開発者が予見しなかった脆弱性やバグを発見できるため、セキュリティ強化に寄与します。不正な入力によって生じる潜在的なセキュリティリスクを事前に特定し、修正することが可能です。

したがって、ファジングは「ソフトウェアのデータの入出力に注目し、問題を引き起こしそうなデータを大量に多様なパターンで入力して挙動を観察し、脆弱性を見つける」という手法です。この定義に基づき、問題文の選択肢の中から正しく答えを導出することができます。