【情報処理安全確保支援士試験 令和2年度 秋期 午後1 問2 No.1】

情報処理安全確保支援士試験 令和2年度 秋期 午後1 問2

【出典：情報処理安全確保支援士試験 令和2年度 秋期 午後1 問2（一部、加工あり）】

問2 電子メールのセキュリティ対策に関する次の記述を読んで、設問1〜3に答えよ。

　R社は、従業員数100名のシステム開発会社である。
　R社では、電子メール（以下、メールという）を利用している。メールアドレスのドメイン名には、r-sha.co.jp（以下、R社ドメイン名という）を使用している。R社では、委託先との設計ドキュメントファイルの交換に当たって、F社のファイル交換サービス（以下、Fサービスという）の利用を推進している。ただし、委託先が社内ルールで外部のファイル交換サービスの利用を禁止している場合は、設計ドキュメントファイルをパスワード付きZIPファイルにし、メールに添付して、メーリングリスト（以下、MLという）のメールアドレス宛てに送信している。ZIPファイルのパスワードは、平文のメールでMLのメールアドレス宛てに送信している。
　MLには、G社のMLサービス（以下、Gサービスという）を利用している。MLのメールアドレスのドメイン名は、G社が取得したものである。MLのメールアドレスのローカル部は、プロジェクト名と委託先の会社名を組み合わせている。例えば、BプロジェクトでのS社との交換では、MLのメールアドレスのローカル部は、b-project_s-shaにする。
　Gサービスでは、メールをMLのメールアドレス宛てに送信すると、登録されたメンバ（以下、登録メンバという）のメールアドレス宛てに同報される。MLの登録メンバのメールアドレスの管理は、プロジェクトごとにR社のそれぞれのプロジェクト管理者が行う。各プロジェクト管理者は、自身が管理するプロジェクトのMLの登録メンバでもある。

[R社の情報システム]
　R社の情報システムは、情報システム部が運用している。R社の情報システムのネットワーク構成を図1に示す。

　内部システムLANのサーバの機能概要を表1に示す。

　内部システムLANのサーバではサーバ証明書を利用している。それらのサーバ証明書は、ネットワークに接続していない証明書発行専用機器上のR社認証局（以下、R社CAという）で発行している。R社CAは情報システム部が運用している。
　DMZのサーバの機能概要を表2に示す。

　ISPのDNSサービスを、DNSキャッシュサーバ及びR社ドメイン名の権威DNSサーバとして利用している。
　R社では、従業員ごとに1台のPCを貸与している。各PCには、R社CAのルート証明書を信頼できる発行元として登録している。
　PCのWebブラウザでは、HTTPSでアクセスするWebサーバのサーバ証明書が失効していないことを、RFC6060で規定されている（b）を利用して確認できるようにしている。

a：LDAP

　「ディレクトリへのアクセスは、標準でTCPポートの389番を使用する（a）を用いる」
　ディレクトリとは、ネットワーク上のリソース情報（所在や属性、設定など）を収集・記録・検索できる仕組みのことで、ディレクトリサーバによって提供されるものです。
　著名なディレクトリサーバとしては、米MicrosoftのActive DirectoryやOSSのOpenLDAPなどがあります。
　ディレクトリへアクセスするためのプロトコルの一つであるLDAP（Lightweight Directory Access Protocol）は、ITU勧告のX.500を簡略化したもので、標準でTCPポートの389番を使用します。

b：OCSP

　「PCのWebブラウザでは、HTTPSでアクセスするWebサーバのサーバ証明書が失効していないことを、RFC6060で規定されている（b）を利用して確認できるようにしている」
　サーバ証明書が失効していないことを確認するプロトコルとしては、OCSP（Online Certificate Status Protocol）があります。
　Webブラウザでは、OCSPに対応するサーバであるOCSPレスポンダにWebサーバのサーバ証明書の有効性を問合せ、有効か失効かを確認することができます。