こんにちは。たいら(@tairaengineer2)です。
転職を繰り返し現在4社経験している、10年目エンジニアです。
この記事では、試験ではセキュリティの問題でよく出題されるペネトレーションテストについて
- 基本情報
- 応用情報
に合格した私が、多くの画像を使って丁寧に解説します。
また、情報処理技術者試験で実際に出題された問題もまとめました。
ペネトレーションテストとは
ペネトレーションテストとは、インターネットなどのネットワークに接続されているシステムに対して、ハッカーによる攻撃手法や様々な技術を使って侵入できるかどうかを試し、システムにセキュリティ上の脆弱性が存在するかをテストすることです。
ペネトレーションは、英語で書くと「penetration」と書き、和訳すると
- 貫通
- 侵入
- 進出
などの意味があります。
まさにシステムへの侵入テストというわけです。
ペネトレーションテストの進め方は
- 侵入するシステムのヒアリングと準備
- ペネトレーションテストのシナリオを作成
- ペネトレーションテストの実施
という順番で行われます。
ペネトレーションテストはセキュリティが専門の会社に外部委託し、定期的に実施しているケースが多いようです。
ペネトレーションテストの具体例
ペネトレーションテストを具体例を使って解説します。
あくまで一例です、ほかにもいろんなペネトレーションテストのやり方がある、ということはご承知おきください。
株式会社田中システムは、株式会社鈴木セキュリティに自社サーバーに侵入できるかどうかのペネトレーションテストを依頼しました。
鈴木セキュリティでは、メールにマルウェアを仕込んでログイン情報を盗んで侵入する、というシナリオを作成しました。
シナリオは以下になります。
- ペネトレーションテストのテスターが、株式会社田中システムの全社員にマルウェアが添付されたファイルを送信
- 社員がファイルを開けると、マルウェアが実行される
- マルウェアが田中システムのサーバーへのログイン情報を盗む
- 盗んだログイン情報を使って、実際に侵入を試みる
上記のシナリオを実行して、もし侵入できたらその対策を考える、というわけです。
情報処理技術者試験で実際に出題されたペネトレーションテスト問題のまとめ
ペネトレーションテストについて解説しました。
この章では情報処理試験で、実際に出題された問題を試験ごとにまとめます。
ITパスポート
基本情報
応用情報
情報セキュリティマネジメント
まとめ:ペネトレーションテストはシステムへの侵入テスト
以上がペネトレーションテストの解説です。
あなたの勉強に少しでもお役に立てれば幸いです。
ではでは~(・ω・)ノシ
コメント