平成28年春期試験問題 問58

情報セキュリティにおけるソーシャルエンジニアリングへの対策の例として,適切なものはどれか。

  • ウイルスを検知,除去する機能を電子メールシステムに導入する。
  • サーバへの攻撃を想定した擬似アタック試験を実施し,発見された脆(ぜい)弱性への対策を行う。
  • 従業員のセキュリティ意識を高めるため,セキュリティ教育を行う。
  • 停電に備えて,サーバルーム向けの自家発電装置を導入する。
正解 問題へ
分野:テクノロジ系
中分類:セキュリティ
小分類:情報セキュリティ対策・実装技術
解説
ソーシャルエンジニアリングは、情報通信技術の方法を用いるのではなく、人のミスや心理的な隙に付け込むことでパスワードなどの秘密情報を不正に取得する方法の総称です。関係者を装って電話でパスワードを聞き出す(なりすまし)、肩越しに画面やキー入力を見る(ショルダーハッキング)、プリンターやデスクやごみ箱に残された書類を漁る(トラッシング)などの行為がソーシャルエンジニアリングの代表例です。

ソーシャルエンジニアリングは、人の心理的な弱みやセキュリティ意識の低さに付け込む攻撃のため、セキュリティ意識が高い人物への攻撃は必然と成立しにくくなります。したがって日頃よりセキュリティ教育を実施することで、組織内にセキュリティに関する知識を浸透させるとともに、担当者に攻撃に対する危機感をもたせることが有効な対策となります。したがって「ウ」が適切な記述です。
  • 技術的な対策のため不適切です。
  • 技術的な対策のため不適切です。
  • 正しい。
  • 物理的な対策のため不適切です。

Pagetop