※本情報は解説作成時点のもので、閲覧時点では法改正等により情報が変更になっている場合がございます。あらかじめご理解いただければ幸いです。
正解は「D.IoT機器を廃棄するときは、内蔵されている記憶装置からの情報漏えいを防止するために物理的に破壊する。」です。
ソーシャルエンジニアリング攻撃は、人間の心理や行動の隙をついて情報を入手する手法です。廃棄時の情報漏えい対策は、この攻撃による被害を防ぐ重要な手段です。
この記事では、ITパスポート試験(令和6年度)テクノロジ系第18問「IoT機器のソーシャルエンジニアリング対策」について、試験対策の観点からわかりやすく解説します。
ソーシャルエンジニアリングとは
ソーシャルエンジニアリング=人間の心理や行動の隙をついて情報を不正取得する攻撃手法
攻撃者は、正規利用者になりすます、電話やメールで情報を引き出す、廃棄物からデータを取得するなどの手段を用います。したがって、IoT機器を廃棄する際には、内部の記憶装置を物理的に破壊することが有効です。
他の選択肢との違い
- 通信の暗号化 → 盗聴対策(通信の保護)
- ファームウェア更新 → 脆弱性攻撃対策
- マルウェア対策ソフト導入 → マルウェア感染防止
これらはそれぞれ異なるセキュリティリスクに対応するもので、ソーシャルエンジニアリング対策ではありません。
問われているポイント
この問題では、IoT機器の廃棄時など、人的要素や運用上の隙に起因する情報漏えい対策を理解しているかが問われています。単なる技術対策と混同しないように注意しましょう。
気を付けてほしい点(勘違いしやすいポイント)
- 通信暗号化やアップデートはソーシャルエンジニアリング対策ではない
- マルウェア対策や脆弱性対策も別のリスクへの対応
補足
ソーシャルエンジニアリング対策は、人的・運用面での管理が中心である点を押さえておきましょう。
ITパスポート試験での出題パターン
テクノロジ系では、IoTや情報セキュリティに関するリスク管理が出題されます。人的要素によるリスク(ソーシャルエンジニアリング)と技術的要素によるリスクを区別して理解しておくことが重要です。
この知識が使われている問題
まとめ
- ソーシャルエンジニアリング対策=人的要素や運用上の隙を防ぐ手段
- IoT機器廃棄時は記憶装置を物理的に破壊して情報漏えいを防止する