平成31年春期試験問題 午前Ⅱ 問22

問題を引き起こす可能性があるデータを大量に入力し,そのときの応答や挙動を監視することによって,ソフトウェアの脆弱性を検出するテスト手法はどれか。

  • 限界値分析
  • 実験計画法
  • ファジング
  • ロードテスト
正解 問題へ
分野 :テクノロジ系
中分類:セキュリティ
小分類:セキュリティ技術評価
解説
ファジング(fuzzing)とは、検査対象のソフトウェア製品に「ファズ(英名:fuzz)」と呼ばれる問題を引き起こしそうなデータを大量に送り込み、その応答や挙動を監視することで(未知の)脆弱性を検出する検査手法です。
22.png
ファジングは、ファズデータの生成、検査対象への送信、挙動の監視を自動で行うファジングツール(ファザー)と呼ばれるソフトウェアを使用して行います。開発ライフサイクルにファジングを導入することで「バグや脆弱性の低減」「テストの自動化・効率化によるコスト削減」が期待できるため、大手企業の一部で徐々に活用され始めています。

したがって「ウ」が正解です。
  • 限界値分析は、一般的に問題が発生する可能性の高い限界値や境界値を入力して、問題が発生しないかどうかを検証する手法です。
  • 実験計画法は、確認すべき複数の要因をうまく組み合わせることによって、なるべく少ない実験回数で効率的に検証する手法です。
  • 正しい。ファジングは、様々な不正確なデータを入力として送り、ソフトウェアが意図しない動作をしないかどうか検証する手法です。
  • ロードテストは、通常想定される運用条件下の高負荷をかけた状態でソフトウェアを動作させ、問題が発生しないかどうかを検証する手法です。

Pagetop