(3)ソーシャル・エンジニアリング
これまでみてきたネットワークを介してのセキュリティ侵害の方法以外に、ソーシャル・エンジニアリングといわれるより直接的で悪質なテクニックが指摘されている。
これは、直接、管理者に電話をかけて、社員のIDやパスワードを聞き出したり、工事点検員や清掃員の装いで会社に侵入し、端末に貼りつけてあるパスワードを盗み出すような手口を指す。組織内のルールで、電話での応答は原則禁止と取り決められていても、電話口で、本人と名乗る社員が急いでいる様子を見せると、多くの管理者は電話口で教えてしまうケースが多いと報告されている。
管理者などの咄嗟の判断に頼る例外処理についても、できる限りきめ細かいガイドラインが必要とされる。