IT用語帳

ファジング

Fuzzing

ふぁじんぐ

ソフトウェアに対して予期しない入力データ(ファズ)を大量に送り込み、異常動作やセキュリティ上の脆弱性を発見するテスト手法。自動化ツールを用いてランダムまたは半構造的なデータを生成し、クラッシュやメモリリークを検出する。
テストセキュリティ
システム開発技術 > 統合・テスト

他の資格での定義

FEファジング

ソフトウェアに対して予測不能なランダムデータ(ファズ)を大量に入力し、異常動作やセキュリティ上の脆弱性を検出するテスト手法。バッファオーバーフローなどの未知の不具合発見に有効。

SCファジング

プログラムの入力に大量の予期しないデータ(ファズ)を自動的に生成・投入し、異常動作やクラッシュを引き起こすことで未知の脆弱性を発見するテスト手法。バッファオーバーフローやフォーマットストリング脆弱性などの検出に有効。

関連キーワードの用語

IPペネトレーションテスト

実際の攻撃手法を用いてシステムの脆弱性を検証するテスト。攻撃者の視点から侵入を試み、セキュリティ対策の有効性を評価する。侵入テストとも呼ばれる。

IP脆弱性診断

システムやネットワークに存在する脆弱性を自動ツールや手動で検査し、発見する診断活動。定期的に実施し、発見した脆弱性に対する対策を講じる。

SGペネトレーションテスト

攻撃者の視点でシステムに擬似的な攻撃を行い、セキュリティの弱点を検証するテスト。脆弱性診断で見つかった脆弱性が実際に悪用可能かどうかを確認し、攻撃による影響範囲を評価する。侵入テストとも呼ばれる。

SC脆弱性診断

システムやアプリケーションに存在する既知の脆弱性を検出するテスト。ネットワーク脆弱性診断とWebアプリケーション脆弱性診断に大別され、ツール(スキャナー)による自動診断と、専門家による手動診断がある。定期的な実施が推奨される。

SCペネトレーションテスト

攻撃者の視点でシステムに対して実際に攻撃を試み、セキュリティ上の弱点を発見するテスト手法。ネットワーク、Webアプリケーション、IoT機器などを対象に、脆弱性の悪用可能性や侵入の影響範囲を検証する。脆弱性診断より実践的な評価が得られる。

SCSAST(静的アプリケーションセキュリティテスト)

ソースコードやバイナリを実行せずに解析し、セキュリティ上の脆弱性を検出するテスト手法。開発の早い段階で脆弱性を発見でき、CI/CDパイプラインに組み込んで自動実行される。SQLインジェクションやバッファオーバーフローなどのコーディング上の問題を検出する。