日本大百科全書(ニッポニカ) の解説
ソーシャルエンジニアリング
そーしゃるえんじにありんぐ
social engineering
一般的には社会工学を意味する用語で、情報セキュリティ分野においては、パスワードに代表される重要なセキュリティ情報を電子的な手段によらず、物理的、心理的手段によって入手する行為をさす。信用させて直接本人から聞き出す、話している内容を盗み聞きする、使用者のパスワードを入力時に盗み見る、不用意に捨てられたメモを見る、オフィスから廃棄されたIT機器を不正に入手する、業務上のメールを装ってパスワードを聞き出すなどの手法がある。組織としてセキュリティ情報の保護に関する管理規則が徹底していない場合や、個人の意識が低い場合につけ込まれやすい。人間に内在する「脆弱(ぜいじゃく)性」を利用するものであり、技術的な対策を施すだけでは対抗するのはむずかしい。ソーシャルエンジニアリングの手法を常時、調査・研究し、可能な限りわかりやすい防御マニュアルを整備して関係者に広く周知し、演習やトレーニングを行うことが重要である。
[編集部]