拙速でもいい。ITパスポート合格したいno.38
皆さんは「ソーシャルエンジニアリング」という言葉から、何を連想しますか。
ふつうは字面から「社会に役立つテクノロジーですか?」と考えますよね。でもそうじゃないんです。
これは、インターネットやデジタルの便利社会に登場した、「心理の隙をついて情報を不正取得する」詐欺や犯罪のことなんです。
「ヒューマンハッキング」とも呼ばれていて、その代表的なものには次のような手口があります。
<ソーシャルエンジニアリングの例>
○ 電話口でパスワード等を聞き出す(なりすまし、プリテキスト)
○ 偽のサイトやメールで個人情報・パスワード等を盗む(フィッシング)
○ 他人のスマホを盗み見して情報を取る(ショルダーハッキング)
○ ゴミ箱に捨てられた書類から重要情報を手に入れる(トラッシング)
○ エロサイトを見た人を脅す(セクストーション)
オレオレ詐欺や国際ロマンス詐欺(これをソーシャルエンジニアリングと呼ぶかは分かりませんが)などと同じように、
この種の犯罪は手口が巧妙で、「自分は大丈夫」と思っている人でもコロコロ騙されます。
また対策を取っても敵は「さらにその上」を考え出してくるので、イタチごっこです。
興味のある方は、こちらもご覧ください。
主な対策
個人としては、「不審なメールは開かない」「定期的にパスワードを変える」「情報データの処分・削除には十分気をつける」といった対応があります。
では、企業の立場で見た場合、どんな対策があるでしょうか。
・社員教育と意識の徹底
・セキュリティポリシーの強化
・情報へのアクセス制限
・定期的な監視
・法的対応
コンプライアンスと同様に、社内でしっかりした枠組みと運用を続けることが大切ですね。そういった意味では「社内の不祥事管理」と同レベルで取組む必要があります。
では、今日はここまで。お疲れさまでした!