応用情報技術者試験平成30年秋午前問59 解説付き過去問

問題

システム監査において、ペネトレーションテストが最も適合するチェックポイントはどれか。

オフィスへの入退室に、不正防止及び機密保護の物理的な対策が講じられているか。

データ入力が漏れなく、重複なく正確に行われているか。

ネットワークの負荷状況の推移が記録、分析されているか。

ネットワークへのアクセスコントロールが有効に機能しているか。

この問題は、システム監査の一環としてペネトレーションテストが最も適合するチェックポイントに関するものです。ペネトレーションテストは、潜在的な脆弱性を特定し、セキュリティ対策の有効性を評価するために重要な手法です。

ペネトレーションテストの基本概念
ペネトレーションテストは、外部や内部からの攻撃者の視点を模倣して、システムのセキュリティ対策を試すセキュリティ評価技術です。これには、ネットワーク、アプリケーション、および他のITインフラ内のセキュリティ弱点を積極的に探索し、悪用することが含まれます。このテストは、既知および未知の脆弱性を特定するために実施され、修正措置を講じる前にリスクを理解するのに役立ちます。
選択肢の評価
1. 物理的なセキュリティ対策はペネトレーションテストの主要な対象ではありません。
2. データ入力プロセスの検証は、データの完整性や正確性を確認するが、これもペネトレーションテストの主要な焦点ではない。
3. ネットワークの負荷状況の分析は、パフォーマンス監視に関連しているが、直接的なセキュリティ評価とは異なる。
4. ネットワークへのアクセスコントロールの検証は、不正アクセスを防ぐためのセキュリティメカニズムの有効性を直接試すため、ペネトレーションテストで特に重要です。

したがって、ネットワークへのアクセスコントロールが有効に機能しているかの評価は、ペネトレーションテストにおいて最も適合するチェックポイントです。この選択肢は、システムのセキュリティを直接的に評価し、強化する機会を提供します。