【問236】個人情報保護士 練習問題|フィッシング対策
情報セキュリティ 問56/120難易度B(標準)
問題文
フィッシング攻撃(ソーシャルエンジニアリングの一種)への対策として、最も適切なものはどれか。
- 1.メール内のリンクをクリックする前に、送信元アドレスやURLの正当性を確認するよう教育する
- 2.すべての外部メールを自動的にブロックし受信しない設定にする
- 3.社内メールにはパスワードを記載して送信するルールを設ける
- 4.フィッシングメールは技術的に完全に排除できるため、従業員教育は不要である
解説
正解
正解は選択肢1です。
各選択肢の解説
選択肢1 → ✅正解
フィッシング対策として、従業員に対してメールの送信元やリンク先URLの正当性を確認する習慣を教育することが最も基本的かつ効果的な対策です。
選択肢2 → ❌誤り
すべての外部メールをブロックすると業務に重大な支障をきたします。適切なフィルタリングは必要ですが、全面ブロックは非現実的です。
選択肢3 → ❌誤り
メールにパスワードを記載して送信することはセキュリティ上極めて危険であり、フィッシング対策にもなりません。
選択肢4 → ❌誤り
フィッシングメールを技術的に100%排除することは不可能です。技術的対策と従業員教育を組み合わせることが重要です。
背景知識
フィッシング攻撃は、実在する組織を装ったメールやメッセージで偽のWebサイトに誘導し、個人情報やログイン情報を騙し取る手法です。近年はスピアフィッシング(特定の個人や組織を標的とした精巧なフィッシング)も増加しています。対策としては、メールフィルタリング等の技術的対策に加え、従業員教育が不可欠です。具体的には、不審なメールの見分け方、URLの確認方法、報告手順の周知などが重要です。フィッシング訓練メールの実施も効果的な教育手法です。
学習アドバイス
フィッシング攻撃の仕組みと具体的な対策を理解しましょう。「技術的対策だけでは防げない」という点がソーシャルエンジニアリング対策全般に共通する考え方です。
まとめ
- フィッシング対策は技術的対策と従業員教育の両方が必要
- メール送信元やURL確認の習慣づけが基本
- フィッシング訓練メールも効果的な教育手法