ITパスポート 2014年 (平成26年 秋期) 問63「リスク対策のうち,ソーシャルエンジニアリングへの対策に該当するものはどれか。…」の正解と解説です。ITパスポート試験の「テクノロジ系」分野の過去問で、これまでの受験者の正答率は約55%です。
正解
ウ. 電話で重要情報を伝達するときの方法を定めて,その手順に従って行う。
正答率 54.5%(935人中 510人が正解)
問題の解説
ソーシャルエンジニアリングは,話術・盗み見・ごみ漁り・なりすまし電話など,技術的手段ではなく人間の心理や行動の隙を突いて情報を入手する攻撃. 対策は技術ではなく人的・運用面の手順整備が中心となる. 電話で重要情報を伝達するときの方法(本人確認・コールバック等)を定めて手順に従うことは,なりすまし電話によるソーシャルエンジニアリング対策の典型例である. 電子メールのウイルス検査・自家発電装置・物品の危険物検査はそれぞれマルウェア対策・電源対策・物理セキュリティであり,対人攻撃への直接的な対策ではない.
選択肢ごとの解説
- 誤り. 電子メールをメールサーバでウイルス検査して配信するのは,マルウェア対策(技術的セキュリティ対策)であって,人の心理を突くソーシャルエンジニアリング攻撃への対策ではない. ウイルス対策の領域とソーシャルエンジニアリング対策の領域を区別することが必要となる典型的な誤答パターン.
- 誤り. 電力供給停止に備えて自家発電装置を設置するのは,事業継続(BCP)や可用性確保のための物理的対策. 災害・停電時の電源確保が目的であり,人間の心理を突く対人攻撃であるソーシャルエンジニアリングへの直接的な対策ではない. リスク領域がそもそも異なっている.
- 正解. 電話で重要情報を伝達する際の方法(本人確認手順・コールバック・伝達禁止情報の明確化等)を定めて手順に従うことは,なりすまし電話等によるソーシャルエンジニアリング攻撃への有効な対策となる. 技術ではなく運用ルールで対人攻撃を防ぐのがこの分野の基本である.
- 誤り. 入荷物を受取場所で危険物検査してから使用場所に移すのは,物理的脅威(危険物・テロ・破壊行為等)への対策であり,人間の心理や行動の隙を突くソーシャルエンジニアリング攻撃への対策ではない. 物理セキュリティと対人攻撃対策のカテゴリを取り違えた誤答である.
ITパスポート 2014年 (平成26年 秋期) の過去問一覧に戻る・問63