リスク対策のうち，ソーシャルエンジニアリングへの対策に該当するものはどれか。

ウ電話で重要情報を伝達するときの方法を定めて，その手順に従って行う。

平成26年度秋期 ITパスポート試験公開問題問63 解説ソーシャルエンジニアリング

この問題は、ソーシャルエンジニアリングが「技術的手段」ではなく「人間の心理的な隙や物理的な行動」を突く攻撃手法であることを理解していれば解けます。選択肢の中で、人間の対話や伝達ルールに関連しているものを探すのがポイントです。

ソーシャルエンジニアリングとは、コンピュータを直接ハッキングするのではなく、ゴミ箱から書類を盗み見たり、電話で管理者になりすましてパスワードを聞き出したり、肩越しに画面を覗き見たり（ショルダーハッキング）する行為を指します。

この攻撃には、システム的な防御ソフト（ウイルス対策ソフトなど）はあまり役に立ちません。なぜなら、攻撃対象が「システム」ではなく「人間」だからです。したがって、対策には「手順のルール化」「教育」「物理的な環境整備」といった、人間の行動を制限または管理する手法が必要になります。

各選択肢は、ソーシャルエンジニアリング以外のリスクに対する対策です。

アのウイルス検査は、マルウェア対策です。システムが自動で処理する部分であり、人間を騙すソーシャルエンジニアリングとは直接の関係がありません。

イの自家発電装置は、停電などの可用性確保（BCP）対策です。施設や設備の物理的なインフラに対するアプローチです。

エの危険物検査は、物理的なセキュリティ対策です。不審物や物理的な破壊工作に対するものであり、情報の窃取を目的としたソーシャルエンジニアリングとは文脈が異なります。

ウの「電話での伝達手順の策定」が正解である理由は、まさに電話という手段を通じた「なりすまし」や「情報の漏えい」を防ぐためのルール作りだからです。例えば、コールバック（一度電話を切って、登録済みの番号にかけ直す）を義務付けることで、相手が本当に本人であるかを確認できます。

実際のIT現場やオフィスでは、この問題の知識は「情報セキュリティ規定」の運用として活かされます。

例えば、「電話でパスワードを聞かれても絶対に教えない」「知らない番号からの電話で重要情報を聞かれた場合は、上司に報告して一度切る」といったルールは、ソーシャルエンジニアリングを防ぐための非常に基本的な防衛策です。

ITパスポートの試験では、このように技術的な対策と、組織としての運用・ルールによる対策の両面からセキュリティを考える力が問われます。ソーシャルエンジニアリングという言葉が出てきたら、即座に「人間の心理」「物理的な隙」「ルールで縛る」というキーワードをセットで連想できるようにしておきましょう。