ITパスポート 2014年 秋期 問63
問題文
リスク対策のうち、ソーシャルエンジニアリングへの対策に該当するものはどれか。
選択肢
ア:電子メールは、メールサーバでウイルス検査をしてから配信する。
イ:電力供給の停止に備えて、自家発電装置を設置する。
ウ:電話で重要情報を伝達するときの方法を定めて、その手順に従って行う。(正解)
エ:入荷物は、受取場所で危険物が含まれないことを検査してから使用場所へ移す。
🔒 解説は解答すると表示されます
リスク対策:ソーシャルエンジニアリングへの対策【ITパスポート 解説】
正解の理由
ソーシャルエンジニアリングとは、人の心理や習慣を利用して、機密情報やアクセス権をだまし取る攻撃手法です(例:なりすまし電話や偽メールでパスワードを聞き出す)。技術的な仕組みを破るのではなく「人」を狙います。
選択肢の中で、ウ「電話で重要情報を伝達するときの方法を定めて、その手順に従って行う。」はまさに人を介した不正を防ぐための「手続き(運用)による対策」です。手順を決めて従うことで、なりすましや騙されやすい状況を減らせます。したがって、ソーシャルエンジニアリング対策として適切です。
解法ステップ
- 「ソーシャルエンジニアリング」の意味を確認する(人を騙す攻撃)。
- 各選択肢が「人に関する対策(運用・教育)」「技術的対策」「物理的対策」「安全検査」どれに当たるか分類する。
- 人を狙う攻撃には、「手順・確認」「認証」「教育」などの運用対策が有効と判断する。
- 該当する運用対策である選択肢を選ぶ(ウ)。
選択肢別の誤答解説
-
ア: 電子メールは、メールサーバでウイルス検査をしてから配信する。
→ これはマルウェア(悪意あるプログラム)やウイルス対策という「技術的対策」です。フィッシング(詐欺メール)やメールでのだましは一部防げることもありますが、主に技術的脅威に対応するもので、ソーシャルエンジニアリング全般の対策とは言えません。 -
イ: 電力供給の停止に備えて、自家発電装置を設置する。
→ これは事業継続や物理的対策(BCP:事業継続計画、Business Continuity Plan)に該当します。停電対策であり、人を騙す攻撃への対策ではありません。 -
ウ: 電話で重要情報を伝達するときの方法を定めて、その手順に従って行う。
→ 電話でのなりすまし(音声での詐欺、いわゆる「vishing(ヴィッシング、voice phishing)」)を防ぐために、本人確認の方法や伝達手順(コールバック、合言葉など)を定めることは、典型的なソーシャルエンジニアリング対策です。よって適切です。 -
エ: 入荷物は、受取場所で危険物が含まれないことを検査してから使用場所へ移す。
→ これは物理的な安全対策や受入検査の運用に関するものです(危険物混入防止)。ソーシャルエンジニアリング(人を騙す行為)とは直接関係ありません。
よくある誤解
-
「ウイルス対策=ソーシャルエンジニアリング対策」ではない。
→ ウイルス対策は技術的な被害を減らすが、人を騙す手口(電話や会話)には別途の手順や教育が必要です。 -
「手順を決めれば十分」と安易に考えるのは危険。
→ 手順は重要ですが、実行しない・守られないと意味がありません。教育や運用チェックが必要です。 -
「電話での確認なんて面倒」と思って省略すると狙われる。
→ 攻撃者は面倒な確認の省略を利用します。面倒でもルールを守ることが安全につながります。
補足コラム
代表的なソーシャルエンジニアリングの種類と対策例:
- フィッシング(phishing:偽装メールで情報を盗む)→ メールの正当性確認、注意喚起、リンクを直接クリックしない習慣。
- ヴィッシング(vishing:電話を使った詐欺)→ 電話用の本人確認ルール(合言葉、コールバック)、非公開情報は口頭で伝えない。
- スミッシング(smishing:SMSを使った詐欺)→ SMSのリンクに注意、公式サイトで確認。
- フォールスフレンド(なりすまし担当者)→ 社内での役割確認、権限の最小化、報告ルートの整備。
電話で重要情報を伝えるときの具体的な手順(例)
- まず相手の名前と所属を確認する。
- 連絡先(社内番号や登録済み番号)で折り返す。コールバックで本人確認する。
- 事前に決めた合言葉(パスフレーズ)で相手を認証する。
- 機密情報は可能なら暗号化されたチャネルや公式のシステムで共有する。
- 通話内容を記録し、上長または担当と共有する。
手順を「紙で決める」だけでなく、定期的な訓練や不正電話の模擬演習を行うと、実効性が上がります。
FAQ
Q1: 手順だけで本当に防げますか?
A1: 手順は基本です。しかし、教育(訓練)と守られているかの監査、報告体制が揃うことで効果が出ます。組織全体で「確認を省略しない文化」を作ることが重要です。
A1: 手順は基本です。しかし、教育(訓練)と守られているかの監査、報告体制が揃うことで効果が出ます。組織全体で「確認を省略しない文化」を作ることが重要です。
Q2: メールのウイルス検査は無駄ですか?
A2: いいえ。ウイルス検査はマルウェア対策として有効ですが、人を騙す攻撃(電話や対面)には別の対策が必要です。両方併用するのが安全です。
A2: いいえ。ウイルス検査はマルウェア対策として有効ですが、人を騙す攻撃(電話や対面)には別の対策が必要です。両方併用するのが安全です。
Q3: 合言葉(パスフレーズ)はどう作ればよいですか?
A3: 短く覚えやすいが推測されにくいものにします。公開情報(誕生日、会社名など)を避け、定期的に変更するとさらに安全です。
A3: 短く覚えやすいが推測されにくいものにします。公開情報(誕生日、会社名など)を避け、定期的に変更するとさらに安全です。
関連キーワード: ソーシャルエンジニアリング, フィッシング, ヴィッシング, スミッシング, 電話認証, 本人確認手順, セキュリティポリシー, マルウェア対策, 事業継続, 受入検査

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

