ファジング
特徴
- 検査対象のソフトウェア製品に「ファズ(fuzz)」と呼ばれる問題を引き起こしそうなデータを大量に送り込み、その応答や挙動を監視することで脆弱性を検出する検査手法
- 問題を引き起こしそうなデータとは、例えば、極端に長い文字列や通常用いないような制御コードなど、ソフトウェアの開発者が想定していないだろうデータ
- ファズデータの生成、検査対象への送信、挙動の監視を自動で行うファジングツール(ファザー)を使用する
- ファジングを開発のライフサイクルに組み込むことで、テストの自動化、脆弱性低減が期待できる
過去問
平成30年度秋期ネットワークスペシャリスト試験・情報処理安全確保支援士試験 共通
【出典:ネットワークスペシャリスト試験・情報処理安全確保支援士試験 共通 平成30年度 秋期 午前1 問15(一部、加工あり)】
脆弱性検査手法の一つであるファジングはどれか。
- 既知の脆弱性に対するシステムの対応状況に注目し、システムに導入されているソフトウェアのバージョン及びパッチの適用状況の検査を行う。
→バージョンチェックツール、または、検疫ネットワークのこと - ソフトウェアのデータの入出力に注目し、問題を引き起こしそうなデータを大量に多様なパターンで入力して挙動を観察し、脆弱性を見つける。
→正解 - ベンダや情報セキュリティ関連機関が提供するセキュリティアドバイザリなどの最新のセキュリティ情報に注目し、ソフトウェアの脆弱性の検査を行う。
→セキュリティアドバイザリとは、ベンダ(マイクロソフト社やシスコシステムズ社など)や情報セキュリティ関連機関(JVNなど)が公開する脆弱性対策情報データベースのこと - ホワイトボックス検査の一つであり、ソフトウェアの内部構造に注目し、ソースコードの構文をチェックすることによって脆弱性を見つける。
→ソースコードセキュリティ検査ツールのこと