平成28年度 春期 ITパスポート試験 問58 解説 ソーシャルエンジニアリング

ソーシャルエンジニアリング対策の考え方

この問題のポイントは、ソーシャルエンジニアリングが「技術的な弱点」を突く攻撃ではなく、「人間の心理的な隙や行動」を突く攻撃であるという点です。したがって、対策もシステムの設定変更ではなく、人間の行動を変えるための教育が正解となります。

ソーシャルエンジニアリングとは

ソーシャルエンジニアリングとは、コンピュータを直接ハッキングするのではなく、ゴミ箱から機密書類を探し出したり、電話でパスワードを聞き出したり、肩越しに画面を覗き見たり（ショルダーハッキング）することで情報を盗み出す手法です。

攻撃者は、システム管理者を装って「至急パスワードを教えてほしい」と電話をかけてきたり、親切な社員を装ってオフィスに侵入したりします。このように、攻撃の入り口が「人間の心理」にあるため、最新のセキュリティソフトを入れても防ぐことができません。

なぜ他の選択肢が不適切なのか

各選択肢は、それぞれ別のセキュリティ脅威に対する対策です。試験では、これらの対応関係を整理しておくことが重要です。

アの「ウイルスを検知、除去する機能」は、マルウェアやウイルスに対する技術的対策です。 イの「サーバへの攻撃を想定した擬似アタック試験（ペネトレーションテスト）」は、システムやネットワークの脆弱性を調査する技術的対策です。 エの「自家発電装置の導入」は、物理的なインフラの維持や、可用性（システムが止まらないこと）を確保するための対策です。

このように、ソーシャルエンジニアリングは「人間の行動規範」に働きかける必要があるため、従業員に対する定期的な研修や教育が最も効果的で、かつ直接的な防御策となります。

実務における活用の視点

実務において、この知識は「セキュリティは技術だけでは完成しない」という認識を持つために不可欠です。どれほど強固なパスワードポリシーを設定していても、窓口の担当者が電話口で「上司から言われているので」と言われてパスワードを教えてしまえば、すべてが水の泡になります。

この問題の教育的意図は、受験者に対して「技術者であっても、情報の守り手として人間心理の脆弱性を理解せよ」というメッセージを伝えています。離席時の画面ロック、不用意な書類の放置禁止、不審なメールや電話への対応フローなど、日常的な行動の積み重ねこそが、最も強力なセキュリティ対策となります。

参考リンク

• 情報セキュリティマネジメント（IPA 独立行政法人 情報処理推進機構）
• 【ITパスポート】ソーシャルエンジニアリングとは？手口と対策を解説！
• 【実録】ソーシャルエンジニアリングで会社のパスワードを抜き取ってみた（架空の検証・Qiita）