H24_aki_AP_PM Q09 Qus.

平成24年 秋期 応用情報技術者 午後 問 9

問 9
電子メールのセキュリティ対策に関する次の記述を読んで、
設問1~4に答えよ。

L社は、インターネット上で集客や案内を行うイベント運営会社である。
L社では、社内の業務連絡や社外の顧客との連絡などに、
電子メール(以下、メールという)を利用している。
社外の顧客とは、インターネットを経由してメールのやり取りしている。

[セキュリティインシデントの発生と対策の検討]
ある日、L社の社員がメールの宛先を誤ったことによって、
顧客の個人情報が記載されたファイルが
業務に関係のない社員に誤って送られるセキュリティインシデントが発生した。
今回は社内の誤送信であったが、これが社外への誤送信であったとすると
重大な事態に発展するおそれがあった。
自体を重く見たL社の情報システム部のM部長は、
現行のメールシステムではセキュリティ機能が弱いと考えた。
メールに関するセキュリティ対策の強化のために、担当者のNさんに、
現行のメールシステムを新製品に切り替える検討を指示した。
新製品を用いたL社の社内システムの構成を、図1に示す。
画像

メールサーバは、社内の利用者のメールボックスを有する。
メール中継サーバは、インターネットを経由して
社外の顧客とメールをやり取りする際に利用される。
ユーザ管理DBは、新製品の導入に伴って新たに設置されるもので、
社内の全ての利用者のメールアドレスと、
承認された社外のメールアドレスが登録されている。
送信したメールは、送信元の手元に残り、送信後も参照可能である。

[M部長からの指示]
M部長は、メールシステムのセキュリティ対策に関して、
次の点についても十分に検討するようにNさんに指示した。

(1)
今回のような操作ミスによるセキュリティインシデントが
社外宛てメールでも起こることを防止するために、
新製品の機能を利用して、メールのセキュリティ対策を十分に取ること。
(2)
メール全体又は添付ファイルを暗号化するなどして、
個人情報の漏えい事故を未然に防ぐ対策を取ること。
(3)
送信前に宛先、メール本文及びファイルの内容を十分に確認することは、
社内のセキュリティ規定で決められている事項であるので、
社員にセキュリティ規定を周知し遵守を徹底させること。
(4)
ユーザ認証にセキュリティ対策を十分に取ること。

M部長から指示を受けたNさんは、新製品の機能を用いた対策と、
その他の対策を検討した。
新製品の機能を用いた対策の流れを図2に示す。

[新製品の機能を用いた対策]
新製品が有する機能を利用して、次の対策(1)~(3)を実施する。
(1)
メール誤送信の防止について、次の手順を実施する。
・メールが送信される際、宛先メールアドレスが
 ユーザ管理DBに登録されているかどうかをチェックする。
 宛先メールアドレスが登録されている場合、(2)に進む。
 宛先メールアドレスが登録されていない場合、メール送信を保留する。
・メールシステムが送信を保留したメールについては、
 送信者にそのメールとともに確認依頼のメールを自動的に送信する。
 送信者は、その保留されたメールの宛先、メール本文
 及び添付ファイルの妥当性を確認する。
 妥当であると判断した場合、(2)へ進み、
 妥当ではないと判断した場合、メール送信を取り消す。
(2)
上司によるメール送信の承認について、次の手順を実施する。
・メールの宛先が社内の場合、そのメールをそのまま宛先へ送信する。
・メールの宛先が社外の場合、そのメールを保留し、
 送信者の上司にそのメールとともに確認依頼のメールを自動的に送信する。
・上司は、その保留されたメールの宛先、メール本文及び
 添付ファイルの内容をチェックし、メール送信を許可するかどうか判断する。
・上司がメール送信を許可する場合、添付ファイルがあれば(3)に進み、
 添付ファイルがなければそのメールを宛先へ送信する。
 許可しない場合、メール送信を取り消し、送信者に
 取消しの通知メールを自動的に送信する。
(3)
添付ファイル付きの社外宛てメールについて、次の手順を実施する。
・暗号化パスワードをワンタイムパスワードとして生成し、
 その暗号化パスワードを使用して添付ファイル暗号化し、
 そのメールを宛先へ送信する。
・別途、暗号化パスワードを記入したメールを同じ宛先に送信する。
 送信する宛先は、今回は送信するメールと同じ宛先としているが、
 メールシステムの設定によって変更が可能である。
画像

[その他の対策]
(1)
電子証明書を利用したメールの暗号化に関する標準規格の一つである
[ a ] は、共通鍵の受渡しに [ b ] を利用している。
しかし、全ての宛先のメールシステムが [ a ] に対応しているとは
限らないので、今回はこの規格の採用を見送ることにする。
(2)
社員全員を対象に、新しいメールシステムの利用の関する研修を行い、
個人情報の漏えいを防ぐために社内のセキュリティ規定を
周知し遵守を徹底させる。
(3)
新製品で用いるユーザ認証用のパスワードの運用について、図3に示す。
運用上の問題点が残る初期パスワードは、
利用開始後直ちに変更するように社員全員に指示する。
画像

Nさんから報告意を受けたM部長は、
[新製品の機能を用いた対策]の一部は、
万が一見落としがあった場合の検討が不十分であることを指摘し、
その対応策を指示した。

[M部長の指摘事項と対応策の指示]
送信者が誤ったファイルを添付したことを上司が発見できなかった場合、
[新製品の機能を用いた対策]の(3)では、機能面で ①問題点 が残る。
そこで、添付ファイル付き社外宛てメールの誤送信のリスク低減策として、
暗号化パスワードが記入されたメールの宛先を送信者自身に変更する。
さらに、そのメールを受け取った送信者は、 [ c ] を再確認し、
問題がなければ、 [ d ] するようにする。

Nさんは、M部長の指示に従って対策を修正し、了承を得た。

設問 1
[新製品の機能を用いた対策]の(2)では、過失による情報漏えい以外に
どのようなリスクを低減することができると考えられるか。
そのリスクを20字以内で述べよ。

設問 2
[その他の対策]の(1)の [ a ] , [ b ] に入れる適切な字句を
解答群の中から選び、記号で答えよ。

解答群
ア AES
イ HTTPS
ウ MD5
エ POP
オ S/MINE
カ SSL
キ ZIP
ク 共通鍵方式
ケ 公開鍵方式
コ ワンタイムパスワード

設問 3
[その他の対策]の(3)において、新製品で用いる
初期パスワードの運用上の問題点とは何か。
解答群の中から二つ選び、記号で答えよ。

解答群
ア 初期パスワードがファイルサーバのパスワードと異なること
イ 初期パスワードが変更前のメールシステムの初期パスワードと異なること
ウ 初期パスワードに有効期限がないこと
エ 初期パスワードを忘れてしまう社員が多いこと
オ 他の社員の初期パスワードが容易に推測できてしまうこと

設問 4
[M部長の指摘事項と対応策の指示]について、(1)~(3)に答えよ。

(1)
本文中の下線①の問題点とは何か。
45字以内で述べよ。

(2)
本文中の [ c ] に入れる適切な字句を、30字以内で述べよ。

(3)
本文中の [ d ] に入れる適切な字句を、30字以内で述べよ。

解答例と解説

この記事へのコメント