選択肢
- ア.ウイルスを検知,除去する機能を電子メールシステムに導入する。
- イ.サーバへの攻撃を想定した擬似アタック試験を実施し,発見された脆弱性への対策を行う。
- ウ.従業員のセキュリティ意識を高めるため,セキュリティ教育を行う。
- エ.停電に備えて,サーバルーム向けの自家発電装置を導入する。
正解
ウ. 従業員のセキュリティ意識を高めるため,セキュリティ教育を行う。
解説
ソーシャルエンジニアリングは,人間の心理や不注意,業務上の信頼関係などの人的要因を利用して,パスワードや内部情報を聞き出したり不正行為を行わせたりする手法である. なりすまし電話,肩越しの覗き見(ショルダーハッキング),ゴミ箱漁り(トラッシング),フィッシングメールなど多様な手口がある. 技術的対策だけでは防げないため,従業員へのセキュリティ教育や訓練,対応ルールの整備など人的・組織的対策が有効である. ウイルス検知や擬似アタック試験,自家発電装置は別領域の対策で,ソーシャルエンジニアリング対策とは目的・対象が異なるものとなる.
選択肢ごとの解説
- ア.誤り. ウイルスを検知・除去する機能を電子メールシステムに導入する対策は,マルウェア対策(ウイルス対策ソフトやメールゲートウェイ)の事例であり,技術的対策に分類される. 人的要因を突くソーシャルエンジニアリングへの対策とは観点が異なり,本問の例として最も適切とはいえない.
- イ.誤り. サーバへの攻撃を想定した擬似アタック試験(ペネトレーションテスト)は,システムの技術的な脆弱性を洗い出し対策につなげる活動の説明であり,技術的対策に該当する. 人的要因を狙うソーシャルエンジニアリング対策とは異なる分野の取組みであるため,本問の例としては適切ではない.
- ウ.正しい. 従業員のセキュリティ意識を高めるためのセキュリティ教育は,なりすまし電話や情報の漏らし要求といった人的要因を狙うソーシャルエンジニアリング攻撃を見抜き,適切に対応する力を養う対策である. 人的・組織的対策の代表例であり,本問の対策事例として最も適切となる.
- エ.誤り. 停電に備えてサーバルーム向け自家発電装置を導入する対策は,可用性・事業継続性のための物理・設備対策であり,ファシリティマネジメントや事業継続計画(BCP)の領域に該当する. 人的要因を突くソーシャルエンジニアリングへの対策ではないため,本問には合致しない.
ITパスポート 2016年 (平成28年 春期) の過去問一覧へ戻る・問58