ITパスポート試験 過去問解説
ソーシャルエンジニアリングとは?ITパスポート試験 2014年 (平成26年 秋期) 問63を解説
ITパスポート試験 2014年 (平成26年 秋期) 問63は、ソーシャルエンジニアリングに関する理解を問う問題です。検索から入っても、問題文、選択肢、正解、解説、各選択肢がなぜ違うかをこのページだけで確認できます。
問題文
この問題の出題ポイント
- ソーシャルエンジニアリングの定義だけでなく、問題文中の条件がどの選択肢に当てはまるかを確認する。
- テクノロジ系分野では、用語の目的・主体・責任範囲の違いが選択肢で問われやすい。
- 関連タグ: ソーシャルエンジニアリング。
選択肢
- ア電子メールは,メールサーバでウイルス検査をしてから配信する。
- イ電力供給の停止に備えて,自家発電装置を設置する。
- ウ電話で重要情報を伝達するときの方法を定めて,その手順に従って行う。正解
- エ入荷物は,受取場所で危険物が含まれないことを検査してから使用場所へ移す。
正解
ウ: 電話で重要情報を伝達するときの方法を定めて,その手順に従って行う。
解説
なぜ他の選択肢が違うのか
ア
誤り. 電子メールをメールサーバでウイルス検査して配信するのは,マルウェア対策(技術的セキュリティ対策)であって,人の心理を突くソーシャルエンジニアリング攻撃への対策ではない. ウイルス対策の領域とソーシャルエンジニアリング対策の領域を区別することが必要となる典型的な誤答パターン.
イ
誤り. 電力供給停止に備えて自家発電装置を設置するのは,事業継続(BCP)や可用性確保のための物理的対策. 災害・停電時の電源確保が目的であり,人間の心理を突く対人攻撃であるソーシャルエンジニアリングへの直接的な対策ではない. リスク領域がそもそも異なっている.
ウ(正解)
正解. 電話で重要情報を伝達する際の方法(本人確認手順・コールバック・伝達禁止情報の明確化等)を定めて手順に従うことは,なりすまし電話等によるソーシャルエンジニアリング攻撃への有効な対策となる. 技術ではなく運用ルールで対人攻撃を防ぐのがこの分野の基本である.
エ
誤り. 入荷物を受取場所で危険物検査してから使用場所に移すのは,物理的脅威(危険物・テロ・破壊行為等)への対策であり,人間の心理や行動の隙を突くソーシャルエンジニアリング攻撃への対策ではない. 物理セキュリティと対人攻撃対策のカテゴリを取り違えた誤答である.
解き方の整理
ソーシャルエンジニアリングの問題では、選択肢のキーワードだけで判断せず、問題文が示す条件と正解選択肢の説明が一致しているかを見ます。誤答選択肢は、似た用語を混ぜる、主体を入れ替える、目的や範囲を広げすぎる、という形で作られることが多いため、選択肢別解説まで確認しておくと復習効率が上がります。
関連用語
関連問題
前後の問題
2014年 (平成26年 秋期) の関連する問題
復習を続ける
間違えた問題、苦手タグ、模試履歴を保存して復習する導線を用意しています。広告なしPro、弱点分析、復習リマインダーは段階的に提供予定です。