応用情報技術者 2012年 秋期 午後 問09
電子メールのセキュリティ対策に関する次の記述を読んで、設問1~4に答えよ。
L社は、インターネット上で集客や案内を行うイベント運営会社である。L社では、社内の業務連絡や社外の顧客との連絡などに、電子メール(以下、メールという)を利用している。社外の顧客とは、インターネットを経由してメールをやり取りしている。
〔セキュリティインシデントの発生と対策の検討〕
ある日、L社の社員がメールの宛先を誤ったことによって、顧客の個人情報が記載されたファイルが、業務に関係のない社員に誤って送られるセキュリティインシデントが発生した。
今回は社内への誤送信であったが、これが社外への誤送信であったとすると重大な事態に発展するおそれがあった。事態を重く見たL社の情報システム部のM部長は、現行のメールシステムではセキュリティ機能が弱いと考えた。メールに関するセキュリティ対策の強化のために、担当者のNさんに、現行のメールシステムを新製品に切り替える検討を指示した。
新製品を用いたL社の社内システムの構成を、図1に示す。
メールサーバは、社内の利用者のメールボックスを有する。メール中継サーバは、インターネットを経由して社外の顧客とメールをやり取りする際に利用される。
ユーザ管理DBは、新製品の導入に伴って新たに設置されるもので、社内の全ての利用者のメールアドレスと、承認された社外のメールアドレスが登録されている。
送信したメールは、送信者の手元に残り、送信後も参照可能である。
〔M部長からの指示〕
M部長は、メールシステムのセキュリティ対策に関して、次の点についても十分に検討するようにNさんに指示した。
(1) 今回のような操作ミスによるセキュリティインシデントが社外宛てメールでも起こることを防止するために、新製品の機能を利用して、メールのセキュリティ対策を十分に取ること。
(2) メール全体又は添付ファイルを暗号化するなどして、個人情報の漏えい事故を未然に防ぐ対策を取ること。
(3) 送信前に宛先、メール本文及び添付ファイルの内容を十分に確認することは、社内のセキュリティ規定で決められている事項であるので、社員にセキュリティ規定を周知し遵守を徹底させること。
(4) ユーザ認証のセキュリティ対策を十分に取ること。
M部長から指示を受けたNさんは、新製品の機能を用いた対策と、その他の対策を検討した。新製品の機能を用いた対策の処理の流れを図2に示す。
〔新製品の機能を用いた対策〕
新製品が有する機能を利用して、次の対策(1)~(3)を実施する。
(1) メール誤送信の防止について、次の手順を実施する。
・メールが送信される際、宛先メールアドレスがユーザ管理DBに登録されているかどうかをチェックする。宛先メールアドレスが登録されている場合、(2)へ進む。宛先メールアドレスが登録されていない場合、メール送信を保留する。
・メールシステムが送信を保留したメールについては、送信者にそのメールとともに確認依頼のメールを自動的に送信する。送信者は、その保留されたメールの宛先、メール本文及び添付ファイルの妥当性を確認する。妥当であると判断した場合、(2)へ進み、妥当ではないと判断した場合、メール送信を取り消す。
(2) 上司によるメール送信の承認について、次の手順を実施する。
・メールの宛先が社内の場合、そのメールをそのまま宛先へ送信する。
・メールの宛先が社外の場合、そのメールの送信を保留し、送信者の上司にそのメールとともに確認依頼のメールを自動的に送信する。
・上司は、その保留されたメールの宛先、メール本文及び添付ファイルの内容をチェックし、メール送信を許可するかどうか判断する。
・上司がメール送信を許可する場合、添付ファイルがあれば(3)に進み、添付ファイルがなければそのメールを宛先へ送信する。許可しない場合、メール送信を取り消し、送信者に取消しの通知メールを自動的に送信する。
(3) 添付ファイル付きの社外宛てメールについて、次の手順を実施する。
・暗号化パスワードをワンタイムパスワードとして生成し、その暗号化パスワードを使用して添付ファイルを暗号化し、そのメールを宛先へ送信する。
・別途、暗号化パスワードを記入したメールを同じ宛先に送信する。送信する宛先は、今回は送信するメールと同じ宛先としているが、メールシステムの設定によって変更が可能である。
〔その他の対策〕
(1) 電子証明書を利用したメールの暗号化に関する標準規格の一つである a は、共通鍵の受渡しに b を利用している。しかし、全ての宛先のメールシステムが a に対応しているとは限らないので、今回はこの規格の採用を見送ることにする。
(2) 社員全員を対象に、新しいメールシステムの利用に関する研修を行い、個人情報の漏えいを防ぐために社内のセキュリティ規定を周知し遵守を徹底させる。
(3) 新製品で用いるユーザ認証用のパスワードの運用について、図3に示す。運用上の問題点が残る初期パスワードは、利用開始後直ちに変更するように社員全員に指示する。
Nさんから報告を受けたM部長は、〔新製品の機能を用いた対策〕の一部は、万が一見落としがあった場合の検討が不十分であることを指摘し、その対応策を指示した。
〔M部長の指摘事項と対応策の指示〕
送信者が誤ったファイルを添付したことを上司が発見できなかった場合、〔新製品の機能を用いた対策〕の(3)では、機能面で①問題点が残る。そこで、添付ファイル付き社外宛てメールの誤送信のリスク低減策として、暗号化パスワードが記入されたメールの宛先を送信者自身に変更する。さらに、そのメールを受け取った送信者は、cを再確認し、問題がなければ、dするようにする。
Nさんは、M部長の指示に従って対策を修正し、了承を得た。
設問1:
〔新製品の機能を用いた対策〕の(2)では、過失による情報漏えい以外にどのようなリスクを低減することができると考えられるか。そのリスクを20字以内で述べよ。
模範解答
放置による情報漏えいのリスク
解説
解答の論理構成
- 問題文では、〔新製品の機能を用いた対策〕の(2)として
― 「メールの宛先が社外の場合、そのメールの送信を保留し、送信者の上司にそのメールとともに確認依頼のメールを自動的に送信する。」
― 「上司は、その保留されたメールの宛先、メール本文及び添付ファイルの内容をチェックし、メール送信を許可するかどうか判断する。」
と記載されている。 - これにより、送信者の操作だけでメールが外部に出て行くことはなく、必ず第三者(上司)の目によるチェックが入る。
- 監視者が介在することで、
・「過失(誤操作)」だけでなく、
・送信者が「わざと機密情報を流出させようとする」ケース
に対しても抑止力・検知力が働く。 - したがって、(2)が低減できる追加的なリスクは「故意による情報漏えい」である。
→ 解答:故意による情報漏えいのリスク
誤りやすいポイント
- 「上司承認=誤送信防止」と短絡し、故意の漏えいリスク低減まで発想が及ばない。
- 「放置」「盗難」といった物理的な漏えい経路を答えてしまう。設問はメール運用フローに起因するリスクを問うている。
- 20字以内という条件に気を取られ、キーワード(故意・情報漏えい)を欠落させる。
FAQ
Q: なぜ「故意」という観点が重要なのですか?
A: 標的型攻撃や内部不正の多くは利用者自身が意図的に情報を流出させる形を取ります。上司承認フローは「第三者の目」を入れることで心理的・技術的ハードルを高め、抑止効果を発揮します。
A: 標的型攻撃や内部不正の多くは利用者自身が意図的に情報を流出させる形を取ります。上司承認フローは「第三者の目」を入れることで心理的・技術的ハードルを高め、抑止効果を発揮します。
Q: 上司も共犯になったら無意味では?
A: 組織内で複数段階のチェック体制を敷くほどリスクは低下します。本問では最小構成として送信者と上司を分離している点が評価対象です。さらなる厳格化としてはログ監査や二段階承認が考えられます。
A: 組織内で複数段階のチェック体制を敷くほどリスクは低下します。本問では最小構成として送信者と上司を分離している点が評価対象です。さらなる厳格化としてはログ監査や二段階承認が考えられます。
Q: 誤送信対策と内部不正対策は同じ仕組みで両立できますか?
A: はい。自動保留+承認フローは「誤操作」も「故意」の両方を一度にカバーできるため、導入コストに対して効果が高い施策です。
A: はい。自動保留+承認フローは「誤操作」も「故意」の両方を一度にカバーできるため、導入コストに対して効果が高い施策です。
関連キーワード: 上司承認、内部不正、情報漏えい、メール誤送信、抑止効果
設問2:
〔その他の対策〕の(1)のa、bに入れる適切な字句を解答群の中から選び、記号で答えよ。
解答群
ア:AES
イ:HTTPS
ウ:MD5
エ:POP
オ:S/MIME
カ:SSL
キ:ZIP
ク:共通鍵方式
ケ:公開鍵方式
コ:ワンタイムパスワード
模範解答
a:オ
b:ケ
解説
解答の論理構成
- 【問題文】では、
“電子証明書を利用したメールの暗号化に関する標準規格の一つである a は、共通鍵の受渡しに b を利用している。”
と明示されています。 - 電子証明書を使うメール暗号化の国際的標準規格は “S/MIME(Secure/Multipurpose Internet Mail Extensions)” です。したがって a には “オ:S/MIME” が入ります。
- S/MIME では本文や添付ファイルを効率良く暗号化するため、まず高速な共通鍵暗号(例:AES)でデータを暗号化し、その“共通鍵”を受信者の公開鍵で暗号化して一緒に送ります。公開鍵で暗号化し、受信者が秘密鍵で復号する方式こそ “公開鍵方式” です。よって b には “ケ:公開鍵方式” が入ります。
- 以上より、 a=“オ” b=“ケ” が正答となります。
誤りやすいポイント
- 「HTTPS や SSL も電子証明書を使うから a=イ(HTTPS)/b=カ(SSL)かも」と連想してしまう。HTTPS/SSL は通信路保護であり、メール本文そのものを暗号化する規格ではありません。
- “共通鍵の受渡しに共通鍵方式?”と誤解し、b に “ク:共通鍵方式” を選ぶケース。共通鍵を安全に渡すには、それ自体とは異なる“公開鍵方式”を使うのが定石です。
- “ZIP 暗号付き添付ファイル”と混同し、a に “キ:ZIP” を入れてしまう。ZIP暗号は標準規格ではなく、電子証明書を前提としません。
FAQ
Q: S/MIME が普及しにくい理由は何ですか?
A: 送受信双方が S/MIME 対応メーラーと電子証明書を必要とし、運用コストが上がるためです。問題文でも “全ての宛先のメールシステムが S/MIME に対応しているとは限らない” と述べられています。
A: 送受信双方が S/MIME 対応メーラーと電子証明書を必要とし、運用コストが上がるためです。問題文でも “全ての宛先のメールシステムが S/MIME に対応しているとは限らない” と述べられています。
Q: なぜ共通鍵と公開鍵を組み合わせるのですか?
A: 共通鍵暗号は高速で大量データの暗号化に向き、公開鍵暗号は鍵配送を安全に行うのに向くからです。ハイブリッド暗号と呼ばれる一般的手法です。
A: 共通鍵暗号は高速で大量データの暗号化に向き、公開鍵暗号は鍵配送を安全に行うのに向くからです。ハイブリッド暗号と呼ばれる一般的手法です。
Q: S/MIME を採用しない場合、本文暗号化はどう実現できますか?
A: 問題文のように添付ファイルを暗号化してパスワードを別送する方法や、TLS経由での SMTP 転送などが現実的代替策となります。
A: 問題文のように添付ファイルを暗号化してパスワードを別送する方法や、TLS経由での SMTP 転送などが現実的代替策となります。
関連キーワード: S/MIME, 公開鍵暗号、ハイブリッド暗号、電子証明書、共通鍵暗号
設問3:
〔その他の対策〕の(3)において、新製品で用いる初期パスワードの運用上の問題点とは何か。解答群の中から二つ選び、記号で答えよ。
解答群
ア:初期パスワードがファイルサーバのパスワードと異なること
イ:初期パスワードが変更前のメールシステムの初期パスワードと異なること
ウ:初期パスワードに有効期限がないこと
エ:初期パスワードを忘れてしまう社員が多いこと
オ:他の社員の初期パスワードが容易に推測できてしまうこと
模範解答
ウ、オ
解説
解答の論理構成
- 図3には初期パスワードの運用が示されており、特に
- 「(3) パスワードは、新製品への切替え時に全て初期化する。初期パスワードは、ユーザIDと同じにする。」
- 「(5) パスワードに期限を付けない。」
と明記されています。
- 初期パスワードがユーザIDと同一であれば、他の利用者でも容易に推測できます。したがって解答群の
- 「オ:他の社員の初期パスワードが容易に推測できてしまうこと」
が該当します。
- 「オ:他の社員の初期パスワードが容易に推測できてしまうこと」
- さらに「(4) パスワードは強制的に変更しない。」かつ「(5) パスワードに期限を付けない。」とあるため、初期パスワードが無期限で使われ続ける危険があります。これは解答群の
- 「ウ:初期パスワードに有効期限がないこと」
に対応します。
- 「ウ:初期パスワードに有効期限がないこと」
- 他の選択肢については、セキュリティ上の重大な欠陥を直接示していない、もしくは問題文で言及されていないため除外します。
以上より、運用上の問題点は「ウ、オ」です。
誤りやすいポイント
- 「(4) パスワードは強制的に変更しない。」を“変更不要=問題なし”と早合点し、期限の欠如(ウ)を見落とす。
- ファイルサーバや旧システムとの違い(ア・イ)を“統一されていない=問題”と誤解する。今回は“推測されやすさ”と“有効期限”が問われています。
- “忘れてしまう”というユーザ利便性の問題(エ)と、システム上の脆弱性を混同する。
FAQ
Q: 初期パスワードが他人に推測されると、なぜ危険なのですか?
A: 攻撃者がユーザIDさえ入手すれば認証を突破でき、メールやファイルに不正アクセスできるためです。
A: 攻撃者がユーザIDさえ入手すれば認証を突破でき、メールやファイルに不正アクセスできるためです。
Q: パスワードに有効期限を設けるメリットは?
A: 盗まれたパスワードが長期間悪用されるのを防ぎ、定期的な変更で安全性を維持できます。
A: 盗まれたパスワードが長期間悪用されるのを防ぎ、定期的な変更で安全性を維持できます。
Q: 強制変更を設定しない場合でも安全にする方法はありますか?
A: ワンタイムパスワードや多要素認証を併用し、固定パスワードだけに依存しない仕組みを導入する方法があります。
A: ワンタイムパスワードや多要素認証を併用し、固定パスワードだけに依存しない仕組みを導入する方法があります。
関連キーワード: パスワード管理、有効期限、推測容易性、強制変更、初期認証
設問4:〔M部長の指摘事項と対応策の指示〕について、(1)〜(3)に答えよ。
(1)本文中の下線①の問題点とは何か。45字以内で述べよ。
模範解答
「送信したメールと同じ宛先にパスワードが届くので、容易にファイルを復号できてしまう。」
または
「送信したメールと同じ宛先に、パスワードが書かれたメールが届いてしまうこと。」
解説
解答の論理構成
- まず問題の状況を確認します。本文では「送信者が誤ったファイルを添付したことを上司が発見できなかった場合、〔新製品の機能を用いた対策〕の(3)では、機能面で①問題点が残る」とあります。
- 〔新製品の機能を用いた対策〕(3)の手順は次のとおりです。
- 「暗号化パスワードをワンタイムパスワードとして生成し、その暗号化パスワードを使用して添付ファイルを暗号化し、そのメールを宛先へ送信する。」
- 「別途、暗号化パスワードを記入したメールを同じ宛先に送信する。」
- 誤った宛先へ添付ファイルを送信してしまうと、上記2つの手順によって「暗号化された添付ファイル」と「その復号パスワード」が両方とも誤った宛先へ届きます。
- したがって、暗号化の意図(第三者には読めないようにする)が失われ、「容易にファイルを復号できてしまう」ことが問題点になります。
誤りやすいポイント
- パスワードを“別メールで送る”というだけで安全だと短絡的に判断し、送信先が同一であるリスクを見落としやすいです。
- 上司確認が通れば安全と考えがちですが、上司も誤添付を見落とす可能性がある点を忘れやすいです。
- 「ワンタイムパスワード」という言葉に安心して、パスワード送信経路の設計を軽視しやすいです。
FAQ
Q: なぜパスワードを同じ宛先に送ると危険なのですか?
A: 誤送信先に暗号化ファイルと鍵がそろって届くため、「暗号化しても意味がない」状態になるからです。
A: 誤送信先に暗号化ファイルと鍵がそろって届くため、「暗号化しても意味がない」状態になるからです。
Q: 別途メールなら安全ではないのですか?
A: 宛先が同じであれば別途メールでも同一人物が両方受け取れるため、分離の効果がありません。
A: 宛先が同じであれば別途メールでも同一人物が両方受け取れるため、分離の効果がありません。
Q: 安全に送るにはどうすれば良いですか?
A: パスワードを送信者自身に戻し、内容を再確認してから電話など別経路で正しい相手に伝える方法が推奨されます。
A: パスワードを送信者自身に戻し、内容を再確認してから電話など別経路で正しい相手に伝える方法が推奨されます。
関連キーワード: 誤送信対策、添付ファイル暗号化、ワンタイムパスワード、情報漏えい、パスワード別送
設問4:〔M部長の指摘事項と対応策の指示〕について、(1)〜(3)に答えよ。
(2)本文中のcに入れる適切な字句を、30字以内で述べよ。
模範解答
c:メールの宛先、メール本文及び添付ファイルの妥当性
解説
解答の論理構成
- 【問題文】では、M部長の指摘後の運用として
“送信者は、cを再確認し、問題がなければ、dする”
とあり、cに入る語句は「送信者が再確認すべき事項」を示します。 - その「再確認すべき事項」は、同じシナリオ内の保留メール確認手順で既に具体的に示されています。
引用①
“送信者は、その保留されたメールの宛先、メール本文及び添付ファイルの妥当性を確認する。” - 引用①と同じ観点で再確認するように求めているため、cには引用①と同一の表現をそのまま当てはめるのが自然です。
- したがって解答は
“メールの宛先、メール本文及び添付ファイルの妥当性”
となります。
誤りやすいポイント
- 「内容」や「有無」と書き換えてしまい、【問題文】の正確な語句「妥当性」を外す。
- “メールの”を省略し「宛先、メール本文及び添付ファイルの妥当性」とだけ書き、原文とズレる。
- 「添付ファイルの内容の妥当性」など余計な語を入れて、引用を改変してしまう。
FAQ
Q: “妥当性”ではなく“内容”でも意味は通りませんか?
A: 【問題文】が明示的に“妥当性”と記しているため、同一表現を用いることが求められます。
A: 【問題文】が明示的に“妥当性”と記しているため、同一表現を用いることが求められます。
Q: “メールの”を省いてはいけませんか?
A: 省略すると原文の完全一致にならず、引用の改変に当たるため推奨されません。
A: 省略すると原文の完全一致にならず、引用の改変に当たるため推奨されません。
Q: cで確認する対象はなぜ3点セットなのですか?
A: 誤送信リスクは宛先・本文・添付ファイルのいずれでも発生し得るため、三つ全てを同時にチェックする設計になっています。
A: 誤送信リスクは宛先・本文・添付ファイルのいずれでも発生し得るため、三つ全てを同時にチェックする設計になっています。
関連キーワード: 誤送信対策、添付ファイル暗号化、ワンタイムパスワード、ダブルチェック
設問4:〔M部長の指摘事項と対応策の指示〕について、(1)〜(3)に答えよ。
(3)本文中のdに入れる適切な字句を、30字以内で述べよ。
模範解答
d:メールやそれ以外の手段で宛先に暗号化パスワードを連絡
解説
解答の論理構成
-
本文で新製品の(3)は、 「暗号化パスワードをワンタイムパスワードとして生成し、その暗号化パスワードを使用して添付ファイルを暗号化し、そのメールを宛先へ送信する」
「別途、暗号化パスワードを記入したメールを同じ宛先に送信する」
と記載されています。
つまり誤った宛先に送った場合でも“ファイル+パスワード”がそろって届き、解読されるおそれがあります。 -
そこで〔M部長の指摘事項と対応策の指示〕では、 「暗号化パスワードが記入されたメールの宛先を送信者自身に変更する」
と指示し、いったんパスワードメールを自分で受け取る手順に改めています。 -
次に送信者が行うべき作業として、 「そのメールを受け取った送信者は、cを再確認し、問題がなければ、dするようにする。」
とあり、誤送信がないことを確認した後にパスワードを本来の相手へ伝達することが求められています。 -
よって d には、パスワードを正しい宛先へ届ける行為を示す語句を入れればよく、模範解答の
「メールやそれ以外の手段で宛先に暗号化パスワードを連絡」
が最も適切です。
これにより、誤送信時でも宛先はファイルを解読できず、リスクを大幅に下げられます。
誤りやすいポイント
- “パスワードを自分宛に送る”だけで完結したと誤解し、受信者への連絡を忘れる。
- 「連絡」ではなく「再送」と書いてしまい、電話・チャットなどメール以外の手段を排除してしまう。
- c と混同し、添付ファイルの再確認手順を d に書き込んでしまう。
FAQ
Q: そもそもパスワードをメールで送るのは安全なのでしょうか?
A: 本文は“ワンタイムパスワードとして生成”とし、誤送信リスクを減らすため送信者が内容を再確認してから別経路を選択できるようにしています。メール以外の手段(電話・SMS など)も許容している点が擬似的な二経路送信となり、安全性向上につながります。
A: 本文は“ワンタイムパスワードとして生成”とし、誤送信リスクを減らすため送信者が内容を再確認してから別経路を選択できるようにしています。メール以外の手段(電話・SMS など)も許容している点が擬似的な二経路送信となり、安全性向上につながります。
Q: なぜ自動的に別メールで送らず、手動確認にしたのですか?
A: 自動送信だと誤送信時に「暗号化ファイル+パスワード」が同時に第三者へ届きます。手動確認を入れることで“パスワードが誤宛先に渡る”経路を遮断し、深刻度を下げるためです。
A: 自動送信だと誤送信時に「暗号化ファイル+パスワード」が同時に第三者へ届きます。手動確認を入れることで“パスワードが誤宛先に渡る”経路を遮断し、深刻度を下げるためです。
Q: パスワードメールを送る代わりに安全な共有ストレージを使う案は?
A: 共有ストレージも有効ですが、本文は“新製品の機能”範囲で対策する想定です。導入コストや運用変更を抑えながらリスク低減を実現する現実的な代替策としてパスワード分離送信を選択しています。
A: 共有ストレージも有効ですが、本文は“新製品の機能”範囲で対策する想定です。導入コストや運用変更を抑えながらリスク低減を実現する現実的な代替策としてパスワード分離送信を選択しています。
関連キーワード: 暗号化、ワンタイムパスワード、誤送信防止、二経路認証、添付ファイル
