平成27年春期試験問題 問69
問69解説へ
ソーシャルエンジニアリングによる被害に結びつきやすい状況はどれか。
- 運用担当者のセキュリティ意識が低い。
- サーバ室の天井の防水対策が行われていない。
- サーバへのアクセス制御が行われていない。
- 通信経路が暗号化されていない。
広告
解説
ソーシャルエンジニアリングは、情報通信技術の方法を用いるのではなく、人のミスや心理的な隙に付け込むことでパスワードなどの秘密情報を不正に取得する方法の総称です。
関係者を装って電話でパスワードを聞き出す(なりすまし)、肩越しに画面やキー入力を見る(ショルダーハッキング)、プリンターやデスクやごみ箱に残された書類を漁る(トラッシング)などの行為がソーシャルエンジニアリングの代表例です。
これらは全て人の心理的な隙を狙って行われます。「運用担当者のセキュリティ意識が低い」状況では、心理的な隙が大きいのでこの攻撃が成立する確率が高くなってしまいます。ソーシャルエンジニアリングのリスクを減らすには、セキュリティ教育や伝達方法の策定など人的セキュリティ対策を実施し、運用担当者のセキュリティ意識を高めることが重要です。
したがって正解は「ア」になります。その他の選択肢は「人の心理的な隙」ではないのでソーシャルエンジニアリングとは直接の関係はありません。
関係者を装って電話でパスワードを聞き出す(なりすまし)、肩越しに画面やキー入力を見る(ショルダーハッキング)、プリンターやデスクやごみ箱に残された書類を漁る(トラッシング)などの行為がソーシャルエンジニアリングの代表例です。
これらは全て人の心理的な隙を狙って行われます。「運用担当者のセキュリティ意識が低い」状況では、心理的な隙が大きいのでこの攻撃が成立する確率が高くなってしまいます。ソーシャルエンジニアリングのリスクを減らすには、セキュリティ教育や伝達方法の策定など人的セキュリティ対策を実施し、運用担当者のセキュリティ意識を高めることが重要です。
したがって正解は「ア」になります。その他の選択肢は「人の心理的な隙」ではないのでソーシャルエンジニアリングとは直接の関係はありません。
広告