ファジングとは?ざっくりと3行で
- 予測不可能な大量のデータ(ゴミデータ)をソフトウェアに送り続けて、わざと壊そうとする品質テスト手法のことだよ。
- 開発者が想定していない異常な入力を自動で繰り返し、未知のバグやセキュリティホールを炙り出す役割があるんだ。
- これを行うと、ハッカーに攻撃される前に弱点を見つけ出し、製品の安全性と頑丈さを高められるね。
【深掘り】これだけ知ってればOK!
ファジング(Fuzzing)は、人間が手作業で行うテストでは限界がある「想定外の入力」を、ツールを使って機械的に何万通りも試す手法です。「Fuzz(毛羽、綿ぼこり)」のようなゴミデータを入力することから名付けられました。例えば、名前入力欄に「1億文字のひらがな」や「特殊記号の羅列」などを流し込み、システムがクラッシュしたり、予期せぬ動作をしたりしないかを確認します。これにより、潜在的な脆弱性(セキュリティホール)を発見できます。
会話での使われ方
このAPI、外部公開する前に必ずファジングツールで強度を確認しておいて。
OSSのライブラリにファジングをかけたら、メモリリークするバグが見つかりました。
手動テストだけじゃ不安だから、ファズテストも追加してカバレッジ(網羅率)を上げよう。
【まとめ】3つのポイント
- 耐久試験の自動化:製品をハンマーで叩き続けるような、過酷なストレステスト
- 想定外の洗い出し:人間では思いつかないような「変な入力」を試して反応を見る
- 脆弱性の発見:セキュリティ事故につながる「穴」を、悪用される前にふさぐ
よくある質問
- Qファジングはいつ使うのがベストですか?
- Aソフトウェアのリリース前、特に外部からの入力を受け付ける機能(Webフォーム、ファイル読み込み機能など)のセキュリティチェックを行う最終段階で実施します。
- Qファジングを失敗させないコツはありますか?
- A闇雲にデータを投げるだけでなく、プログラムの構造を解析しながら効率的に入力を生成するスマートファジングツールを選ぶと、バグ発見率が高まります。
- Qファジングの具体例は何ですか?
- AWebブラウザに壊れたHTMLファイルを読み込ませてクラッシュしないか試す、Webサーバーに不正なHTTPリクエストを大量送信するなどが代表的です。
- Qペネトレーションテストとの違いは何ですか?
- Aペネトレーションテストは侵入できるか(目的達成)を確認するために人間が攻撃シナリオを考えるのに対し、ファジングは壊れるか(網羅探索)を確認するために機械が大量のパターンを試す点です。
コメント