平成27年度 春期 ITパスポート試験 公開問題 問69 解説 ソーシャルエンジニアリング

この問題は、ソーシャルエンジニアリングの定義を理解していれば即座に解くことができます。ソーシャルエンジニアリングとは、コンピュータを直接攻撃するのではなく、人の心理的な隙や行動のミスを突いて情報を盗み出す手法であるため、人の意識に関わる選択肢を選ぶのが正解です。

ソーシャルエンジニアリングとは何か

ソーシャルエンジニアリングは、技術的な脆弱性ではなく、人間の特性を悪用する攻撃手法です。攻撃者は以下のような手段で機密情報を得ようとします。

• トラッシング：ゴミ箱を漁って機密情報を探し出すこと
• ショルダーハッキング：背後から覗き見てパスワードを盗むこと
• オフィスへの侵入：社員を装って施設内に立ち入り、情報を盗み出すこと
• フィッシングやなりすまし電話：管理者を騙ってパスワードを聞き出すこと

これらの手法に共通するのは、システムの防御力が高くても、それを扱う人間の側が「まさかこんなことをするはずがない」という油断や、親切心を持っていた場合に成功してしまうという点です。

なぜ他の選択肢は不適切なのか

設問にある他の選択肢は、いずれも「技術的な対策」や「物理的な対策」に関わるものであり、ソーシャルエンジニアリングの範疇からは外れます。

イのサーバ室の防水対策は物理的なセキュリティ（自然災害対策）です。ウのアクセス制御はシステム上の認証・認可の問題であり、エの通信経路の暗号化はネットワークセキュリティの領域です。これらは、攻撃者がシステムそのものに侵入しようとする場合や、通信を傍受する場合に対策すべき技術的な課題です。

試験では「人間をターゲットにしているか、システムをターゲットにしているか」を区別することが重要になります。

セキュリティ意識を向上させる教育的意義

この問題が問うているのは、情報セキュリティにおいて「人間は最も弱いリンクである」という教訓です。どんなに堅牢なファイアウォールを設置しても、認証情報を付箋に書いてディスプレイに貼っていたり、見知らぬ人からの電話に安易に社内情報を話してしまったりすれば、すべてが無意味になります。

この知識は、実務においても不可欠です。自分が運用担当者になった際、「怪しい電話には答えない」「PCを離れるときは必ずロックする」「シュレッダーを通さずに書類を捨てない」といった日常的な行動が、会社全体を守る最後の砦になることを意識する必要があります。セキュリティ対策とは、システム製品を導入することだけでなく、一人ひとりの意識を習慣化することに他ならないのです。

参考リンク

• 情報セキュリティマネジメントシステム（ISMS）の基礎知識
• 【ITパスポート】ソーシャルエンジニアリングとは？手口や対策をわかりやすく解説
• 【実例紹介】ソーシャルエンジニアリングの手口と心理学（Qiita）