今回も情報処理安全確保支援士の試験勉強の内容をアウトプットをしていきます。
勉強に使ったのはこちら
章の終わりにあるCheck問題に私なりの答えで解答していきます。
今回は5.3章:脆弱性検査のCheck問題です。
【Q1】なぜ、脆弱性検査を実施する必要があるのか。
ホストの要塞化やファイアウォールの設置などを行っても、作業の抜けや誤りによって重大な脆弱性が内在したままになっている可能性がある。また、運用当初はセキュアに構築されたとしてもその後使用している製品に脆弱性が発見されたり、構成や設定の変更によって重大な脆弱性が内在していたりする可能性もある。
こうした状況をいち早く発見するため、ネットワークを介して疑似的な侵入や攻撃を試みて脆弱性の有無を確認することが有効である。
【Q2】脆弱性検査を実施する対象となるのは何か。
OS、サーバソフトウェア、Webアプリケーションなど
【Q3】OSや市販のソフトウェアの検査は、なぜ継続的に定期的に実施する必要があるのか。
市販製品の脆弱性は次々に発見されるため、それらの脆弱性が検出されないことを継続的に検査する必要がある。
【Q4】Webアプリケーション検査は、なぜツールによる実施が難しいのか。
サイトごとに仕様が異なるため画一的なツールでの検査実施が困難。
入力フィールドの意味や各ページの関連性などを人間が判断しながら実施する必要がある。
アカウントごとに利用できる範囲が変わる場合は検査用のアカウントを用意する必要がある。
【Q5】OSや市販のソフトウェアの検査を実施する際の留意点としては何があるか。
ツールで検査できる範囲には限界があり、より高度な検査を行う場合は専門技術者による実施が必要。
脆弱性検査ツールを常に最新のバージョンにアップデートする。
【Q6】Webアプリケーションの検査を実施する際の留意点としては何があるか。
検査の実施によりDBに実際のデータが登録されたり、処理が実行されたりするため、事前の調整と実施後の対処が必要になる。
【Q7】OSや市販のソフトウェアの検査実施後にはどのような対処が必要となるか。
脆弱性が発見された場合は直ちに対処するとともに、同じ製品構成の他のホストにも同様の脆弱性が存在しないかを確認する。
【Q8】Webアプリケーションの検査実施後にはどのような対処が必要となるか。
脆弱性が発見された場合は直ちに対処するとともに、類似のアプリケーションにも同様の脆弱性が存在しないかを確認する。
【Q9】ファジングとは何か。
ソフトウェア製品の脆弱性を検出することを目的としたブラックボックス検査手法の一つ。
検査対象となるソフトウェア製品に対し、極端に長い文字列や制御コードなど、問題を引き起こしそうなデータ(fuzz)を大量に送り込み、その応答や挙動を監視する。その結果、予期せぬ異常動作や異常終了、再起動などが発生した場合、当該ソフトウェア製品に何らかのバグや脆弱性がある可能性が高いと判断する。
私が使っているのは2022年版のテキストですが、2024年版も出ています。