メールサーバの機能【平成29年度 春期 情報処理安全確保支援士試験 午後2 問2 設問1】

平成29年度 春期 情報処理安全確保支援士試験 午後2 問2 設問1

問2 社内システムの情報セキュリティ対策強化に関する次の特徴を読んで、設問1〜5に答えよ。

 A社は、従業員数500名の金属加工会社である。A社では、電子メール(以下、メールという)の送受信、Webの閲覧、及びWebサーバによる情報公開にインターネットを利用している。社外に公開するドメイン名としてa-sha.co.jp(以下、A社ドメイン名という)、サブドメイン名としてcc.a-sha.co.jp(以下、A社サブドメイン名という)を利用している。

〔メールによる情報交換〕

 A社では、業者とデータを交換する場合、ファイルを、あらかじめ取り決めたパスワードで暗号化し、メールに添付して送受信している。さらに、担当者不在の場合でも迅速に対応できるように、担当者が所属するグループの同報用メールアドレスにもメールを送信してもらっている。グループ同報用メールアドレスに届いたメールは、グループに所属する従業員全員のメールアドレスに転送(以下、同報転送という)される。A社で使用しているメールアドレスの種別を表1に示す。

f:id:aolaniengineer:20200225041434p:plain

〔A社の情報システム〕

 A社の情報システムのネットワーク構成を図1に示す。

f:id:aolaniengineer:20200225041529p:plain

 DMZの各サーバには、グローバルIPアドレスを割り当てている。L3SW、PC、内部LANのサーバ及び業務LANのサーバには、プライベートIPアドレスを割り当てている。

 ウィルス対策として、サーバ及びPCにW社のウィルス対策ソフトを導入している。サーバ及びPCでは、リアルタイムスキャンを有効にし、さらに、サーバでは毎週土曜日20時に、PCでは毎日12時にフルスキャンを起動している。ウィルス定義ファイルは、サーバ、PCとも、1時間おきに更新している。

 A社では、全ての従業員にPCを1台ずつ貸与している。PCのOS及びソフトウェアの脆弱性修正プログラムを、それぞれ毎月1回自動で適用している。

〔DMZのサーバの概要〕

 A社は、2年前にDMZへのプロキシサーバ 新設に合わせ、DMZの全サーバをリプレースした。DMZのサーバは、システム部が運用している。システム部では、業者に委託して、年1回、DMZのサーバに対するインターネットからの脆弱性検査を実施しており、問題がないことを確認している。また、システム部では、DMZのサーバで使用されているOS及びソフトウェアの脆弱性情報を収集している。DMZのサーバでは、脆弱性修正プログラムがリリースされてから1か月以内に適用するようにしている。

 DMZのサーバの機能概要を表2に示す。

f:id:aolaniengineer:20200225041603p:plain

a:SMTP over TLS

外部メールサーバの転送機能で、「サーバ証明書を用いてSMTP通信をセキュアにした」ものを解答するものです。

SMTPはメール送信に用いるプロトコルで、それ自体に通信内容を暗号化する機能はありません。

SMTP通信に先立ちTLSによる仮想的な通信路を構築して、SMTP通信をセキュアにしたものがSMTP over TLSです。

SMTPではポート番号が「25」ですが、SMTP over TLSでは「465」を用います。

b:MTA(Mail Transfer Agent)

外部メールサーバの「メールの転送を行う」プログラムを解答するものです。

メールの送信では、利用者がメールソフト(MUA:Mail User Agent)で送信したメールをメールサーバで受信し、宛先に基づいて振り分け転送します。

このメールサーバの機能をMTA(Mail Transfer Agent)といいます。

 外部メールサーバの転送機能の設定を表3に示す。この設定によってオープンリレーが防止されている。

f:id:aolaniengineer:20200225041637p:plain

c:内部メールサーバ

外部メールサーバは表2に、「インターネットと内部メールサーバとの間でメールを転送する」 とあります。

そして、表3の1項ではインターネットからA社内へ、2項ではA社内からインターネットへの転送処理の説明であり、内部メールサーバが該当します。

なお、オープンリレーとは、メールサーバにおいてインターネット上の誰からでも送信依頼を受け付け処理するようになっていることを示します。スパムメールなど迷惑メールの送信手段として利用されるため、防止しておく必要があります。

〔内部LANのサーバ及び業務LANのサーバの概要〕

 内部LANのサーバは、システム部が運用している。内部LANのサーバの機能概要を表4に、内部メールサーバの転送機能の設定を表5に、業務LANのサーバの機能概要を表6に示す。

f:id:aolaniengineer:20200225041713p:plain

d:MDA(Mail Delivery Agent)

内部メールサーバの転送機能で、「メールボックスに格納する」プログラムを解答するものです。これは、MDA(Mail Deliverly Agent)です。

f:id:aolaniengineer:20200225041739p:plain

f:id:aolaniengineer:20200225041811p:plain

f:id:aolaniengineer:20200225041838p:plain

 業務LANのサーバ間では、日次でデータの転送がある。業務LANのサーバのうちコンテンツ管理Webサーバは、システム部が運用している。各部のサーバはそれぞれの部で運用している。

 内部LANのサーバ及び業務LANのサーバでは、OS及びソフトウェアの脆弱性修正プログラムの適用を年1回実施している。直近では、2か月前の3月に実施した。しかし、コンテンツ管理Webサーバ及び営業部サーバでは、ソフトウェアの動作検証が間に合わず、OS及びソフトウェアの脆弱性修正プログラムの適用を8月に延期した。

【出典:情報処理安全確保支援士試験 平成29年度春期午後2問2(一部、加工あり)】