令和6年度科目A問9テクノロジ系

基本情報令和6年度科目A 問9：テクノロジ系に関する問題

ペネトレーションテストに該当するものはどれか。

a検査対象の実行プログラムの設計書，ソースコードに着目し，開発プロセスの各工程にセキュリティ上の問題がないかどうかをツールや目視で確認する。
b公開Web サーバの各コンテンツファイルのハッシュ値を管理し，定期的に各ファイルから生成したハッシュ値と一致するかどうかを確認する。
c公開Web サーバや組織のネットワークの脆ぜい弱性を探索し，サーバに実際に侵入できるかどうかを確認する。正答
d内部ネットワークのサーバやネットワーク機器のIPFIX 情報から，各PC の通信に異常な振る舞いがないかどうかを確認する。

正答：C公開Web サーバや組織のネットワークの脆ぜい弱性を探索し，サーバに実際に侵入できるかどうかを確認する。

AI解説（初心者・標準・上級）

理解度に合わせて3レベルの解説を無料で読めます。

初心者向けまずはここから。やさしく要点を解説

答えは c です。

ペネトレーションテスト＝「ペネトレート（侵入する）」から来ていて、ホワイトハッカーが本気で攻撃してみて、本当に侵入できるか試すテスト。家のセキュリティを確認するのに、許可をとった泥棒役の人にホントに侵入を試みてもらうイメージ。

👉 覚え方：ペネトレート＝突き刺す・侵入する。「実際に攻めて確かめる」テスト。

ほかの選択肢：a 設計書を見てチェック＝ソースコードレビュー／b ファイルの改ざんを検知＝ファイル完全性監視（Tripwireみたいなやつ）／d 通信の異常を見張る＝ネットワーク監視（NetFlow分析）。

標準試験対策の基準レベル

なぜこれが正解か

正解は c。ペネトレーションテスト（侵入テスト）は、攻撃者と同じ手法・ツールを用いて公開Webサーバや組織ネットワークの脆弱性を実際に突き、侵入の成否・影響範囲を実証するテスト。脆弱性スキャナの結果が「実害につながるか」を本物の攻撃で確認する点が他のテストと異なる。

各選択肢の解説

a 設計書・ソースコードを工程ごとにチェック → セキュアコードレビュー／SAST（Static Application Security Testing）。
b ファイルのハッシュ値を定期照合 → ファイル完全性監視（FIM、File Integrity Monitoring）。改ざん検知用。
d IPFIXフローから異常通信を検知 → ネットワーク異常検知／NDR（Network Detection and Response）。

覚え方・ひっかけ注意

「実際に侵入できるかを試す」がペネトレーションテストの定義。脆弱性スキャナ（OpenVAS、Nessusなど）が「脆弱性のリストアップ」止まりなのに対し、ペネトレーションテストは人間（または高度ツール）が攻撃を組み立てて侵入実証する点が決定的に違う。「設計書・ソース」「ハッシュ値」「IPFIX」など他選択肢のキーワードと混同しないこと。

上級誤答論破・背景理論まで深掘り

理論的背景・仕組みの詳細

ペネトレーションテストの標準的フェーズは PTES（Penetration Testing Execution Standard）に整理されている：

1. 事前準備（スコープ・契約・ROE: Rules of Engagement）

2. 情報収集（OSINT、Shodan、Whois、DNS列挙、ポートスキャン）

3. 脆弱性分析（Nessus、OpenVAS、Burp Suite、Nuclei）

4. 攻撃／侵入（Metasploit、Cobalt Strike、手動エクスプロイト）

5. 権限昇格・横展開（Mimikatz、BloodHound、PowerShell Empire）

6. 痕跡消去（教育目的・実環境では非実施）

7. 報告（CVSS／CVSS-BTスコア付きでの優先度付け、ビジネスインパクト分析）

手法分類はブラックボックス（情報なし）・グレーボックス（一部情報あり）・ホワイトボックス（全情報提供）。

実務での使われ方・関連規格/法令

国際標準は OWASP Testing Guide（Web）、OWASP MASTG（Mobile）、NIST SP 800-115、ISO/IEC 27001の付録A.12.6統制。日本では経産省「サイバーセキュリティ経営ガイドライン Ver3.0」、IPA「情報セキュリティ10大脅威」「セキュリティ・バイ・デザイン入門」が参照される。金融分野はFISC安全対策基準、PCI DSS v4.0（Requirement 11.4）が年次ペネテスト＋セグメンテーションテストを義務付け。クラウド向けにはCSA STAR、AWS/Azure/GCPがペネトレーションテスト事前承認プロセスを公開（一部は事前申請不要）。Red Team Operationはペネトレーションテストを発展させ、人・物理セキュリティを含む組織全体への模擬攻撃で、目的指向型（Goal-Oriented）に実施する。

試験での位置づけ

FE科目Aセキュリティ領域で毎回1問出る頻出テーマ。「実際に侵入できるか確認」がキーフレーズ。応用情報技術者では、SAST/DAST/IAST/SCA/RASPの違い、CVSS v3/v4スコア計算、CVE・CWE・CAPECの関係、脅威モデリング（STRIDE、PASTA、Attack Tree）まで問われる。情報処理安全確保支援士試験では、TLPT（Threat-Led Penetration Testing）、Purple Team、MITRE ATT&CK / D3FENDフレームワーク、Adversary Emulation Plan（APT29、FIN7等の模倣）まで掘り下げる。

選択肢の発展補足

類概念整理：

脆弱性診断（スキャナ）：脆弱性の網羅的検出。深さなし。
ペネトレーションテスト：攻撃で実証。深さあり、網羅性なし。
Red Team：目標指向の総合演習、人・物理含む。
Bug Bounty：第三者ハッカーへの報奨金制度（HackerOne、Bugcrowd）。

選択肢a（SAST）の代表ツールは SonarQube・Snyk Code・Semgrep、選択肢b（FIM）はTripwire・OSSEC・Wazuh、選択肢d（NDR/NTA）はDarktrace・Vectra AI・Suricata。これら防御層と組み合わせて多層防御（Defense in Depth）を構築するのが現代のセキュリティ設計。生成AI時代ではLLMを使ったエクスプロイト自動生成（PentestGPTなど）が登場し、ペネトレーションテストの自動化と高度化が同時進行している。

出典・引用について

出典：IPA（情報処理推進機構）公式基本情報技術者試験令和6年度科目A 問9／公的機関配布資料につき出典明記の上引用。解説は合格ナビによる独自AI解説です。