応用情報技術者試験令和4年秋午前問45 解説付き過去問

問題

ファジングに該当するものはどれか。

Webサーバに対し、ログイン、閲覧などのリクエストを大量に送り付け、一定時間内の処理量を計測して、DDoS攻撃に対する耐性を検査する。

ソフトウェアに対し、問題を起こしそうな様々な種類のデータを入力し、そのソフトウェアの動作状態を監視して脆弱性を発見する。

パスワードとしてよく使われる文字列を数多く列挙したリストを使って、不正にログインを試行する。

マークアップ言語で書かれた文字列を処理する前に、その言語にとって特別な意味をもつ文字や記号を別の文字列に置換して、脆弱性が悪用されるのを防止する。

この問題は、ファジングの概念に関する理解を確認することを目的としています。ファジングは、ソフトウェアが不正な入力や予期しないデータをどのように処理するかをテストする手法です。

ファジングの定義
ファジングは、ソフトウェアのセキュリティ脆弱性を発見するために、故意に作成された無効またはランダムなデータをソフトウェアへ入力し、その反応を観察するテスト手法です。このプロセスは、ソフトウェアが想定外の入力をどのように処理するかを評価し、潜在的なセキュリティ問題を特定するのに役立ちます。
他の選択肢との比較
他の選択肢では、DDoS攻撃の耐性検査、不正ログイン試行、特殊文字の置換といった異なるセキュリティ関連の手法が述べられていますが、これらはファジングとは異なります。ファジングはあくまでソフトウェアがどのように異常な入力を処理するかをテストすることに特化した手法です。

したがって、ソフトウェアに対し、問題を起こしそうな様々な種類のデータを入力し、そのソフトウェアの動作状態を監視して脆弱性を発見する手法がファジングに該当します。この手法はソフトウェアのセキュリティを強化する重要な工程であり、多くの開発プロセスで採用されています。