▼FE平成29年度秋期:問45 コンピュータやネットワークのセキュリティ上の脆弱性を発見するために、システムを実際に攻撃して侵入を試みる手法はどれか。
ア ウォークスルー
イ ソフトウェアインスペクション
ウ ペネトレーションテスト
エ リグレッションテスト
▼上に出てきた用語の意味
【ウォークスルー walk-through】開発プロジェクトのメンバーが集まり、仕様や構成の問題点を探したり解決策を討論したりする作業。要件定義や仕様策定、設計などの上流工程で行われることが多い。(IT用語辞典 e-Wordsより)
レビューを希望する成果物の作成者が、必要な数のレビューアを招集し、成果物の内容を説明する形式。(Wikipediaを修正)
【ソフトウェアインスペクション Software inspection】ソフトウェア開発プロジェクトで作成された成果物(仕様書やプログラムなど)を、実際に動作させることなく人間の目で見て検証する作業。(Wikipediaを修正)
【ペネトレーションテスト】ネットワークに接続されているコンピュータシステムに対し、実際に既知の技術を用いて侵入を試みて、システムに脆弱性がないかどうかテストする手法。(Wikipediaを修正)
【ペネトレーション penetration】侵入。
【リグレッションテスト regression testing】バグ修正、ソフトウェアの機能強化、構成変更などを行ったソフトウェアが変更後に不具合を起こさず動作するか確認する作業。(Wikipediaを修正)
▼今回の問いとFEのシラバス(セキュリティ)の関連を赤の★印、既出は橙色の★印で示しました。
表の出所 FEのシラバスから筆者が作成。
▼FEのシラバスでの位置付け
3.セキュリティ技術評価 >(1)セキュリティ評価基準 :情報システムのセキュリティレベルを評価するための評価基準として、ISO/IEC 15408(コモンクライテリア)などがあることを理解する。
[用語例]評価方法、セキュリティ機能要件、セキュリティ保証要件、保証レベル、JISEC(ITセキュリティ評価及び認証制度)、JCMVP(暗号モジュール試験及び認証制度)、PCI DSS、CVSS(Common Vulnerability Scoring System:共通脆弱性評価システム)、脆弱性診断、ペネトレーションテスト、耐タンパ性、以下略。
解答ウ