ITパスポート 令和6年度 問73：securityに関する問題

答えは d です。

まず「ソーシャルエンジニアリング」とは、機械を攻撃するのではなく、“人”や“捨てたモノ”からこっそり情報を盗むずるい手口のこと。たとえばゴミ箱に捨てた書類や古い機器から秘密を拾う、というやり方です。

だから対策は、捨てるときに中身を読めなくすること。d の「廃棄するときに記憶装置を物理的に壊す」がぴったりです。

👉 覚え方：ソーシャル＝“人やゴミ”から盗む → 対策は“捨て方に注意”。

ほかの選択肢：a 暗号化・b ファームウェア更新・c マルウェア対策は、どれも機械やネット越しの攻撃を防ぐ技術的な対策で、人やゴミ経由の手口への直接の対策ではありません。

なぜこれが正解か

正解は d。ソーシャルエンジニアリングとは、技術的手段ではなく人間の心理や行動の隙、物理的な経路を突いて情報を盗む手口。代表例に、なりすまし電話、肩越しの覗き見（ショルダーハッキング）、ゴミ箱から書類や廃棄機器を漁るトラッシング（スキャベンジング）がある。

廃棄するIoT機器の記憶装置を物理破壊する（d）は、トラッシングによる情報漏えいを防ぐソーシャルエンジニアリング対策に該当する。

各選択肢の解説

• a 通信の暗号化：通信路上の盗聴（技術的攻撃）対策。
• b ファームウェア更新：脆弱性を突く攻撃への技術的対策。
• c マルウェア対策ソフト：マルウェア感染（技術的攻撃）対策。

覚え方・ひっかけ注意

ソーシャルエンジニアリング＝「人・物理経由」の攻撃。a・b・cはすべて技術的・ネットワーク的攻撃への対策で、機器単体やネット越しの話。“廃棄・覗き見・なりすまし”が出たらソーシャルエンジニアリングと結びつける。

理論的背景

ソーシャルエンジニアリング（Social Engineering）は技術的な脆弱性ではなく「人間の心理・行動・ミス」を悪用して機密情報を搾取する攻撃手法であり、技術的防御だけでは根本的な対策が困難な点が特徴。IoT文脈におけるソーシャルエンジニアリングの典型的手法として、廃棄機器からのデータ復元がある。廃棄前に物理的破壊（シュレッダー・穿孔・溶融）を行わない場合、技術的知識を持つ攻撃者が廃棄物から機器を回収し、内蔵フラッシュメモリやeMMCからデータを抽出することで認証情報・設定情報・ネットワーク構成・個人情報等を入手できる。これは廃棄プロセスという「組織の運用的弱点」を突いた攻撃であり、人間の判断ミス（廃棄前の消去を怠る行為）に起因するためソーシャルエンジニアリング対策の範疇に入る。

実務での使われ方

IoT機器の廃棄管理はISO/IEC 27001附属書A「8.1 資産管理」および「8.3 メディアの取扱い」で要求される情報資産管理プロセスの一環。企業ではIT資産廃棄（ITAD）ポリシーを策定し、廃棄前のデータ消去・物理破壊・廃棄証明書の取得を標準手順とすることが求められる。IoT機器固有の課題として、スマートスピーカー・監視カメラ・産業用センサー等の組込みデバイスはOSレベルのデータ消去コマンドが使えないケースが多く、ファームウェアリセット（Factory Reset）のみでは不十分な場合があるため物理破壊が推奨される。製造業のOT（Operational Technology）環境では長期稼働後の機器廃棄時に設計図面・生産データが露出するリスクが特に高い。IPA「サイバーセキュリティ経営ガイドライン」でも廃棄機器の情報漏えいを重要リスクとして明示している。

試験での位置づけ

IoTセキュリティはITパスポートのシラバスver.6.0以降で出題比率が増加した重要テーマ。本問はIoTセキュリティの文脈で「ソーシャルエンジニアリング対策」を識別させる複合的な設問であり、各選択肢が異なるセキュリティ対策カテゴリを代表している点が難度を高めている。選択肢a（暗号化通信）は技術的対策、選択肢b（ファームウェアアップデート）は脆弱性管理（技術的対策）、選択肢c（マルウェア対策ソフト）は技術的対策、選択肢d（物理的破壊）は情報廃棄時の物理的・運用的対策としてソーシャルエンジニアリング対策に分類される。この4分類の理解は基本情報技術者（FE）では必須知識となり、技術的対策・管理的対策・人的対策・物理的対策の整理が求められる。

選択肢の発展補足

選択肢aの「常時暗号化通信」はTLS/DTLS・MQTT over TLS等の通信プロトコルレベルの技術的対策で、盗聴・中間者攻撃（MITM）に対処する。選択肢bのファームウェアアップデートはOTA（Over-The-Air）更新として実装されることが多く、CVE（共通脆弱性識別子）で管理された既知脆弱性の修正が目的であり、脆弱性管理（Patch Management）の範疇。選択肢cのマルウェア対策ソフトはリソース制約の大きい組込みIoT機器への適用が困難なケースが多く、ホワイトリスト型マルウェア対策やEDR（Endpoint Detection and Response）の軽量版が近年開発されている。廃棄時の物理破壊（選択肢d）に対応する規格としてDOD 5220.22-M（米国防省標準）やNIST SP 800-88 Destroyレベルがあり、認定された破壊施設による廃棄証明書（COD：Certificate of Destruction）の取得がエンタープライズ標準となっている。