選択肢
- ア.運用担当者のセキュリティ意識が低い。
- イ.サーバ室の天井の防水対策が行われていない。
- ウ.サーバへのアクセス制御が行われていない。
- エ.通信経路が暗号化されていない。
解説
正答はア. ソーシャルエンジニアリング (Social Engineering) は技術的な脆弱性ではなく人間の心理・行動の隙を突いて情報を不正に入手する攻撃手法で, なりすまし電話・肩越し盗み見・ゴミ漁り (トラッシング) などが典型例. 運用担当者のセキュリティ意識が低いと, 不審な問合せに応じてパスワードを教えてしまうなど被害に直結しやすい. サーバ室の天井防水・サーバへのアクセス制御・通信経路暗号化はそれぞれ物理的・技術的対策の話で, 人間の心理に対する攻撃であるソーシャルエンジニアリングとは別領域である.
選択肢ごとの解説
- ア.運用担当者のセキュリティ意識が低いとソーシャルエンジニアリング攻撃 (なりすまし問合せ・肩越し盗み見等) に応じてしまい情報漏えいに繋がりやすく問題文に完全合致する正答. 人的脆弱性が直接の原因となる. 試験頻出概念で確実な理解が必要となる選択肢.
- イ.サーバ室天井の防水対策不備は物理的脅威 (水漏れによる機器故障) のリスクであり, 人間の心理を狙うソーシャルエンジニアリングとは別領域の脅威. ファシリティ管理の問題であって心理攻撃ではないため誤り. 試験頻出概念で確実な理解が必要となる選択肢.
- ウ.サーバへのアクセス制御不備は技術的な脆弱性 (不正アクセス可能) であり, 人間の心理を狙うソーシャルエンジニアリングとは別領域の脅威. 技術対策の不足であって心理操作ではないため誤りで対策領域が異なる. 試験頻出概念で確実な理解が必要となる選択肢.
- エ.通信経路の暗号化不足は技術的脆弱性 (盗聴可能) であり, 人間の心理を狙うソーシャルエンジニアリングとは別領域の脅威. ネットワークセキュリティの問題で心理攻撃とは別の対策領域となるため誤り. 試験頻出概念で確実な理解が必要となる選択肢.
ITパスポート 2015年 (平成27年 春期) の過去問一覧へ戻る・問69