ITの基礎知識｜ITパスポート・基本情報

基本情報技術者令和6年公開問題科目A 問9

2026.06.16

ペネトレーションテストに該当するものはどれか。

ア　検査対象の実行プログラムの設計書，ソースコードに着目し，開発プロセスの各工程にセキュリティ上の問題がないかどうかをツールや目視で確認する。
イ　公開 Web サーバの各コンテンツファイルのハッシュ値を管理し，定期的に各ファイルから生成したハッシュ値と一致するかどうかを確認する。
ウ　公開 Web サーバや組織のネットワークの脆弱性を探索し，サーバに実際に侵入できるかどうかを確認する。
エ　内部ネットワークのサーバやネットワーク機器の IPFIX 情報から，各 PC の通信に異常な振る舞いがないかどうかを確認する。

基本情報過去問 , 令和6年公開問題 , 技術要素 , セキュリティ , セキュリティ技術評価 , ペネトレーションテスト

前の記事へ次の記事へ

正解：　ウ

解説：

ペネトレーションテスト（侵入テスト）は，攻撃者の視点でシステムに実際に侵入を試みることで，脆弱性の有無や侵入された場合の影響を検証するテストです。「penetration＝貫通，侵入」という意味のとおり，「実際に侵入できるか」が最大のキーワードです。

各選択肢を検討します。

ア：設計書やソースコードを工程ごとに確認するのは，セキュリティレビュー／ソースコード診断（静的検査）の説明です。
イ：ファイルのハッシュ値を定期的に照合するのは，改ざん検知の説明です。
ウ：脆弱性を探索し，実際に侵入できるかを確認する。ペネトレーションテストの説明です。正解。
エ：IPFIX（フロー情報）から通信の異常な振る舞いを監視するのは，ネットワーク監視（振る舞い検知，NDRなど）の説明です。

なお，似た用語の脆弱性診断は「脆弱性の有無を網羅的に洗い出す」ことが目的であるのに対し，ペネトレーションテストは「実際に侵入・目的達成が可能か」を検証する点に違いがあります。