情報処理安全確保支援士試験 令和2年度 秋期 午後1 問2
【出典:情報処理安全確保支援士試験 令和2年度 秋期 午後1 問2(一部、加工あり)】
[S/MIME利用に向けた課題と解決策]
E主任とHさんは、S/MIMEの利用に向けて、解決すべき課題を次のとおりリストアップした。
(ア)R社CAのようなプライベート認証局のルート証明書をPCに登録することが、委託先によっては禁止されており、その場合、R社の従業員が送信したメールの(d)を(e)することができない。
(イ)委託先に事前にS/MIME証明書を渡す必要があり、その方法を決める必要がある。
(ウ)ML宛てのメールを暗号化できない。
E主任とHさんは、(ア)〜(ウ)それぞれの解決策を検討した。
(ア)については、認証局サービス事業者が発行するS/MIME証明書であれば、委託先でのR社CAのルート証明書をPCに登録しなくてもよいことが分かった。加えて、失効情報サーバの導入も不要であることが分かった。そこで、認証局サービス事業者が発行するS/MIME証明書を利用することにした。
(イ)については、S/MIME証明書を外部記憶媒体に保存して手渡す方法と、メールで送信する方法を調査した。調査の結果、S/MIMEを用いて(d)を付与したメールを送信すれば、受信者はS/MIME証明書も受け取れるし、送信者が他者になりすましていないことも確認できることが分かり、便利でもあるので、メールで送信する方法にすることにした。
(ウ)については、表3の項番1を完全に満たすわけではないが、次の案を考えた。
⑴ R社のプロジェクト管理者は、あらかじめ、Gサービスに(f)のメールアドレスのS/MIME証明書を登録する。
⑵ R社のプロジェクト管理者は、あらかじめ、(g)のメールアドレスのS/MIME証明書の発行手続をG社に依頼する。
⑶ メール送信者は、(g)のメールアドレスのS/MIME証明書を使って暗号化したメールを送信する。
⑷ Gサービスは、メールを復号する。
⑸ Gサービスは、(f)のメールアドレスのそれぞれのS/MIME証明書を使い、受信後にそれぞれが復号できるようにしてメールを暗号化する。
⑹ Gサービスは、暗号化したメールを送信する。
E主任がG社に確認したところ、この案には対応できないと回答があった。そこで、委託先との間で暗号化したメールを送信する場合は、MLを利用せずに委託先担当者のS/MIME証明書で暗号化し、当該担当者のメールアドレスに送信することにした。
E主任とHさんは、S/MIMEの利用について、D部長に報告した。D部長は、S/MIMEの利用を営業部長と開発部長に説明し、了承を得た。営業部経由で委託先にS/MIMEの利用を打診したところ、S/MIMEの利用の内諾が得られた。その後、必要な準備を行い、S/MIMEを試行した、その結果、問題ないことが確認でき、S/MIMEの利用が始まった。
d:ディジタル署名、e:検証
「R社CAのようなプライベート認証局のルート証明書をPCに登録することが、委託先によっては禁止されており、その場合、R社の従業員が送信したメールの(d)を(e)することができない」
「調査の結果、S/MIMEを用いて(d)を付与したメールを送信すれば、受信者はS/MIME証明書も受け取れるし、送信者が他者になりすましていないことも確認できることが分かり、便利でもあるので、メールで送信する方法にすることにした」
前の問題から、S/MIMEを利用して実現できる要件は「メールの暗号化」と「送信者の検証」でした。
そして送信するメールに付与するのはディジタル署名であり、受信者側でそのディジタル署名を認証局のルート証明書を用いて検証することになります。
f:MLの登録メンバ、g:ML
「R社のプロジェクト管理者は、あらかじめ、Gサービスに(f)のメールアドレスのS/MIME証明書を登録する」
「R社のプロジェクト管理者は、あらかじめ、(g)のメールアドレスのS/MIME証明書の発行手続をG社に依頼する」
「メール送信者は、(g)のメールアドレスのS/MIME証明書を使って暗号化したメールを送信する」
「Gサービスは、(f)のメールアドレスのそれぞれのS/MIME証明書を使い、受信後にそれぞれが復号できるようにしてメールを暗号化する」
MLによるメール送信時には、MLのメールアドレスで送信し、GサービスでそれぞれのMLの登録メンバのメールアドレスに送信します。
その際に、MLのメールアドレス用の暗号化と、MLの登録メンバのメールアドレス用に暗号化することになり、それをGサービスで実現できないか考えた案であることが読み取れます。