情報処理安全確保支援士試験 令和2年度 秋期 午後1 問2
【出典:情報処理安全確保支援士試験 令和2年度 秋期 午後1 問2(一部、加工あり)】
問2 電子メールのセキュリティ対策に関する次の記述を読んで、設問1〜3に答えよ。
R社は、従業員数100名のシステム開発会社である。
R社では、電子メール(以下、メールという)を利用している。メールアドレスのドメイン名には、r-sha.co.jp(以下、R社ドメイン名という)を使用している。R社では、委託先との設計ドキュメントファイルの交換に当たって、F社のファイル交換サービス(以下、Fサービスという)の利用を推進している。ただし、委託先が社内ルールで外部のファイル交換サービスの利用を禁止している場合は、設計ドキュメントファイルをパスワード付きZIPファイルにし、メールに添付して、メーリングリスト(以下、MLという)のメールアドレス宛てに送信している。ZIPファイルのパスワードは、平文のメールでMLのメールアドレス宛てに送信している。
MLには、G社のMLサービス(以下、Gサービスという)を利用している。MLのメールアドレスのドメイン名は、G社が取得したものである。MLのメールアドレスのローカル部は、プロジェクト名と委託先の会社名を組み合わせている。例えば、BプロジェクトでのS社との交換では、MLのメールアドレスのローカル部は、b-project_s-shaにする。
Gサービスでは、メールをMLのメールアドレス宛てに送信すると、登録されたメンバ(以下、登録メンバという)のメールアドレス宛てに同報される。MLの登録メンバのメールアドレスの管理は、プロジェクトごとにR社のそれぞれのプロジェクト管理者が行う。各プロジェクト管理者は、自身が管理するプロジェクトのMLの登録メンバでもある。
[R社の情報システム]
R社の情報システムは、情報システム部が運用している。R社の情報システムのネットワーク構成を図1に示す。
内部システムLANのサーバの機能概要を表1に示す。
内部システムLANのサーバではサーバ証明書を利用している。それらのサーバ証明書は、ネットワークに接続していない証明書発行専用機器上のR社認証局(以下、R社CAという)で発行している。R社CAは情報システム部が運用している。
DMZのサーバの機能概要を表2に示す。
ISPのDNSサービスを、DNSキャッシュサーバ及びR社ドメイン名の権威DNSサーバとして利用している。
R社では、従業員ごとに1台のPCを貸与している。各PCには、R社CAのルート証明書を信頼できる発行元として登録している。
PCのWebブラウザでは、HTTPSでアクセスするWebサーバのサーバ証明書が失効していないことを、RFC6060で規定されている(b)を利用して確認できるようにしている。
a:LDAP
「ディレクトリへのアクセスは、標準でTCPポートの389番を使用する(a)を用いる」
ディレクトリとは、ネットワーク上のリソース情報(所在や属性、設定など)を収集・記録・検索できる仕組みのことで、ディレクトリサーバによって提供されるものです。
著名なディレクトリサーバとしては、米MicrosoftのActive DirectoryやOSSのOpenLDAPなどがあります。
ディレクトリへアクセスするためのプロトコルの一つであるLDAP(Lightweight Directory Access Protocol)は、ITU勧告のX.500を簡略化したもので、標準でTCPポートの389番を使用します。
b:OCSP
「PCのWebブラウザでは、HTTPSでアクセスするWebサーバのサーバ証明書が失効していないことを、RFC6060で規定されている(b)を利用して確認できるようにしている」
サーバ証明書が失効していないことを確認するプロトコルとしては、OCSP(Online Certificate Status Protocol)があります。
Webブラウザでは、OCSPに対応するサーバであるOCSPレスポンダにWebサーバのサーバ証明書の有効性を問合せ、有効か失効かを確認することができます。