問題
問58
情報セキュリティにおけるソーシャルエンジニアリングへの対策の例として、適切なものはどれか。
- ウイルスを検知,除去する機能を電子メールシステムに導入する。
- サーバへの攻撃を想定した擬似アタック試験を実施し,発見された脆弱性への対策を行う。
- 従業員のセキュリティ意識を高めるため、セキュリティ教育を行う。
- 停電に備えて,サーバルーム向けの自家発電装置を導入する。
[出典:ITパスポート試験 平成28年度春期 問58]
正解
正解は「ウ」です。
解説
ソーシャルエンジニアリングとは、コンピュータウイルスやシステム上の脆弱性を利用するのではなく、人の心理的な隙や行動のミスにつけこんで、パスワードや機密情報を不正に入手する手口のことです。
例えば、会社の従業員を装って電話でパスワードを聞き出したり、あたかも信頼できる人物かのようにふるまって機密情報を聞き出したりする行為がこれに当たります。この手口への対策としては、従業員一人ひとりがセキュリティに関する意識を高め、不審な要求や状況に適切に対応できるようになることが最も重要です。そのため、定期的なセキュリティ教育を実施し、従業員にソーシャルエンジニアリングの手口や危険性を周知徹底することが効果的です。
これにより、従業員が疑わしい状況に直面した際に、冷静に判断し、適切な行動をとれるようになります。例えば、「パスワードは教えない」「不審なメールの添付ファイルは開かない」といった基本的なルールを徹底させる教育が有効です。
ア(ウイルスを検知,除去する機能を電子メールシステムに導入する。):
これはソーシャルエンジニアリングではなく、コンピュータウイルスへの技術的対策です。ソーシャルエンジニアリングは人間の心理を突く攻撃ですので、技術的な対策だけでは防げません。
イ(サーバへの攻撃を想定した擬似アタック試験を実施し,発見された脆弱性への対策を行う。):
これはシステムやネットワークの技術的な脆弱性を発見し対策するためのもので、ソーシャルエンジニアリングとは異なります。ペネトレーションテスト(侵入テスト)などと呼ばれる、技術的なセキュリティ対策の一つです。
エ(停電に備えて,サーバルーム向けの自家発電装置を導入する。):
これはシステムの可用性(常に利用できる状態を保つこと)を確保するための物理的な対策であり、ソーシャルエンジニアリングとは関係ありません。
難易度
この問題の難易度は、ITパスポート試験の初心者にとってはやや中程度と感じられるかもしれません。ソーシャルエンジニアリングという言葉を知っていても、具体的な対策が技術的なものと人的なものに分かれることを理解している必要があります。しかし、選択肢を一つずつ検討し、それぞれの対策がどのような種類の脅威に対応するものかを考えれば、正解にたどり着くことは可能です。特に「ソーシャル」という言葉が「社会的な、人間関係の」という意味合いを持つことを理解していれば、人的な対策を選ぶヒントになります。
用語補足
ソーシャルエンジニアリング:
コンピュータやシステムへの技術的な攻撃ではなく、人間の心理的な隙や不注意を利用して、パスワードや機密情報などを不正に取得する手口です。例えば、宅配業者を装って個人情報を聞き出したり、社内の人間を装って信頼させて情報を引き出したりします。
ウイルス:
コンピュータに感染して、データの破壊や流出、システムの誤作動などを引き起こす悪意のあるプログラムの総称です。風邪のウイルスのように、知らない間に感染して悪影響を及ぼすことがあります。
脆弱性:
システムやソフトウェア、ネットワークなどに存在するセキュリティ上の欠陥や弱点のことです。この弱点が攻撃者に悪用されると、情報漏洩やシステム破壊などの被害につながる可能性があります。家の鍵穴が古くて簡単に開けられてしまうようなものです。
可用性:
情報システムやデータが、利用者によって必要な時にいつでも利用できる状態であるという特性を指します。システムが故障せず、停止しないことや、復旧が早いことが可用性が高いと言えます。例えば、銀行のATMが24時間いつでも使える状態であることは、可用性が高い状態です。
対策
この問題を解くためのポイントは、「ソーシャルエンジニアリング」が「人の心理を突く」攻撃であるという本質を理解することです。技術的な対策(ウイルス対策、脆弱性診断、物理的な設備対策)は、コンピュータやネットワークの弱点には有効ですが、人間の行動や判断ミスには直接対応できません。そのため、人の意識や知識を高める「教育」がソーシャルエンジニアリングに対する最も直接的な対策となります。各選択肢が「誰(何)に対するどのような対策か」を区別して考えることが重要です。
