ソーシャルエンジニアリングの脅威に対する、直接的な対策でないものを1つ選びなさい。
a. 個人情報が含まれた書類はシュレッダで裁断してから廃棄する。
b. PCの画面にのぞき見防止用のスクリーンフィルタを取り付ける。
c. PCにパーソナルファイアウォールを導入する。
d. 使用済みハードディスクは、専用のツール等を用いてデータを完全に消去してから廃棄する。
e. サポートセンタの担当者を名乗る人物から、電話でパスワードや暗証番号を聞かれても答えない。
「ソーシャルエンジニアリングってなに?」
「人間の心理的な隙や、行動のミスにつけ込んで個人が持つ秘密情報を入手する方法のことだよ。身分をごまかして管理者や利用者に直接聞き出したり、とても恐ろしい手段なんだよ。」
「ひゃあ!とてもこわいね!」
「そうなんだ~。だから今日は日常の個人情報や機密情報の取扱について考えよう~。選択a~eまでを1つずつみていこう。」
「『a.個人情報が含まれた書類はシュレッダで裁断してから廃棄する。』だけどなんでそんなことしなきゃいけないの?」「そのままゴミ箱へ捨てちゃうと、ゴミ箱から直接だったり、あとでゴミ捨て場からだったり、タイミングは色々あるけど、持って行かれる可能性があるからね。」「えぇ!!ゴミ箱を漁る人なんているの?キタナィ。。。泣」「そうだね。でも重要な情報はお金になるからね~どうやってでも持って行きたいんだよ~。」
「『b.PCの画面にのぞき見防止用のスクリーンフィルタを取り付ける。』のは?」「これも良い対策だね。背後にはご用心っ!」
「人の出入りを制限している職場ならあまり気にしないけど、外部の人間がそのまま入ってこれるようなレイアウトなら重要な対策だね。」
「こっそり背後からPCのモニターを覗き見されて、重要な情報が漏えいする可能性もあるからね。」「のぞき見防止スクリーンを貼ると見えなくなるの?」「正面に座って普通にPCを操作する分にはあまり影響がないかちょっと暗くなる程度だけど、そこから少し角度がずれて斜めから見ると画面が見えなくなるんだよ。」
「『c.PCにパーソナルファイアウォールを導入する。』これは良いセキュリティ対策だよね~。」「おやおや?ファイアウォールの導入ってどんな対策なのかな?」
「ファイアウォールは技術的且つネットワークからの侵入への対策にだから、セキュリティ対策ではあるけど、ソーシャルエンジニアリングの対策ではないよね。」
「そっか~。ソーシャルエンジニアリングはもっとシンプルな手口だもんね。」
「『d.使用済みハードディスクは、専用のツール等を用いてデータを完全に消去してから廃棄する。』の説明をしてみよう。」「ファイルの削除だけじゃだめなの?」「実はHDDのファイルを削除しただけだと、データは残っていて、『削除したよ』って状態になって、見えなくなるだけなんだ。」「それってゴミ箱のこと?ゴミ箱を空にすればOKなんじゃないの?」「いいや、ゴミ箱から削除した時の話だよ。」
「いうなれば、在庫はあるけどカタログからは消えた状態・・・みたいな。」「へぇ~、知らなかったぁ~。安心できないね。」
「『e.サポートセンターの担当者を名乗る人物から、電話でパスワードや暗証番号を聞かれても答えない。』は分かるよね?」「これは分かるよ!本当にサポートセンターの人か確かめないとね!」
【 第23回 第2部 第46問 解答&解説 】
[解答] c.
[解説]
a.対策となる。
b.対策となる。
c.対策とならない。ソーシャルエンジニアリングとは、詐欺的な手口によって認証情報や個人情報を入手することであるため、パーソナルファイアウォールといったソフトウェアを使ったものはソーシャルエンジニアリングの対策とはならない。
d.対策となる。
e.対策となる。