情報セキュリティ対策比較問題
脆弱性スキャンと侵入テストの違いについて、最も適切な説明はどれか。
A.脆弱性スキャンと侵入テストは同じ目的のセキュリティ評価手法であり、使用するツールだけが異なる。
✗ 脆弱性スキャンと侵入テストは目的と範囲が異なる手法です。ツール差以上の違いがあります。
B.脆弱性スキャンは既知の脆弱性を自動で検出することが主目的であり、侵入テストは実際に攻撃を試みて全体的なセキュリティを評価する。← 正解
✓ 正解です。脆弱性スキャンは自動検出、侵入テストは実際の攻撃シミュレーションという根本的な違いがあります。
C.侵入テストは脆弱性を発見するだけの手法であり、脆弱性スキャンは実際の被害を測定する。
✗ 説明が逆です。侵入テストは全体的な評価を行い、脆弱性スキャンが脆弱性検出を主目的とします。
D.脆弱性スキャンはネットワーク診断のみを対象とし、侵入テストはアプリケーションのみを対象としている。
✗ 脆弱性スキャンも侵入テストも、ネットワークとアプリケーションの両方を対象とします。
「情報セキュリティ対策」の他の問題
ファイアウォールのログ記録機能が無効化されていることが発見されました。この状況で、外部からの不正アクセス試行があった場合…多要素認証(MFA)が導入されていないシステムに対して、フィッシング攻撃で従業員のパスワードが漏洩した場合、組織が被る最…組織が暗号化されていない状態で大量の顧客個人情報を保管していたシステムで、データベースの管理画面へのアクセス制御が弱い状…マルウェア対策ソフトが最新の定義ファイルに自動更新されていない状態のまま6ヶ月間放置されていた場合、その間に発生する最大…社員が業務用ノートパソコンを駅のカフェで紛失した後、当該パソコンにはHDDの暗号化が施されていなかったことが判明しました…ある組織で、従業員全員のパスワードポリシーが「8文字以上、大文字小文字数字を含む」という単純な要件のみで、パスワード変更…