【問234】個人情報保護士 練習問題|ソーシャルエンジニアリング対策
情報セキュリティ 問54/120難易度B(標準)
問題文
ソーシャルエンジニアリング対策として、最も効果が低いものはどれか。
- 1.電話でパスワードを尋ねられても応じない旨のルールを徹底する
- 2.離席時にはPCのスクリーンロックを行う習慣を徹底する
- 3.ファイアウォールのルールを強化し、外部からの不正通信を遮断する
- 4.重要書類はシュレッダーで裁断してから廃棄する
解説
正解
正解は選択肢3です。
各選択肢の解説
選択肢1 → ❌誤り(効果的な対策)
なりすまし電話への対策として、パスワードを電話で伝えない旨のルールを徹底することは有効です。
選択肢2 → ❌誤り(効果的な対策)
スクリーンロックはショルダーハッキングや不在時の不正操作を防ぐ効果的な対策です。
選択肢3 → ✅正解(効果が低い)
ファイアウォールの強化は技術的なセキュリティ対策であり、人間の心理を利用するソーシャルエンジニアリングに対しては直接的な効果が低いです。
選択肢4 → ❌誤り(効果的な対策)
シュレッダーによる書類の裁断は、トラッシング対策として非常に有効です。
背景知識
ソーシャルエンジニアリングは人間の心理や行動を利用する攻撃であるため、技術的対策だけでは防げません。主な対策としては、セキュリティ意識の啓発教育、電話応対時のルール整備(本人確認の徹底、パスワードを伝えない等)、離席時のスクリーンロック、クリアデスクポリシー、書類の適切な廃棄(シュレッダー使用)、入退室管理の徹底などの人的・物理的対策が中心となります。ファイアウォール等の技術的対策は、ネットワーク攻撃には有効ですがソーシャルエンジニアリングには直接的効果が限定的です。
学習アドバイス
ソーシャルエンジニアリング対策は「人的対策」と「物理的対策」が中心であることを理解しましょう。各攻撃手法に対応する具体的な対策をセットで覚えると効果的です。
まとめ
- ソーシャルエンジニアリング対策は人的・物理的対策が中心
- 技術的対策だけでは人間を標的とする攻撃は防げない
- セキュリティ意識教育が最も重要な対策