【ネットワークスペシャリスト試験 令和6年度 春期 午後2 問2 No.4】

ネットワークスペシャリスト試験 令和6年度 春期 午後2 問2

【出典：ネットワークスペシャリスト試験 令和6年度 春期 午後2 問2（一部、加工あり）】

[Z社に委託するメールの運用方法の検討]
 まず、X主任は、自社のメールシステムのセキュリティ運用規定に、次の規定があることを確認した。
（あ）社内メールサーバYには、Y社に勤務する従業員以外のメールボックスは設定しないこと
（い）社内のPCによるメール送受信は、社内メールシステムYを介して行うこと
（う）メール中継サーバY1及びY2にはメールボックスは設定せず、社内メールサーバYから社外宛て、及び社外から社内メールサーバY宛てのメールだけを中継すること
（え）Y社のドメインを利用するメールには、なりすまし防止などの情報セキュリティ対策を講じること

 次に、メールの運用方法の検討に当たって、X主任は、Z社のネットワーク構成とサポート体制を調査した。
 Z社のネットワーク構成を図6に、外部DNSサーバZが管理するゾーン情報を図7に示す。

 Z社には、複数の企業から受託したメールを用いたサポート業務を、チームを編成して対応している。
 X主任は、Z社のネットワーク構成、サポート体制及びY社のメールシステムのセキュリティ運用規定を基に、Z社に委託するメールによるサポート方法を、次のようにまとめた。

• Z社のサポートチームYのサポート担当者は、現在使用している問合せ窓口のメールアドレスsupport@y-sha.comでサポート業務を行う。
• support@y-sha.com宛てのメール中から、Z社に委託した製品のサポート依頼メール及びサポート途中のメールが抽出されて、Z社のサポートチームYのグループアドレス宛てに転送されるようにする。
• サポートチームYのサポート担当者は、送信元メールアドレスがsupport@y-sha.comにセットされたサポートメールを、社内メールサーバZを使用してY社の顧客宛てに送信する。

 次に、セキュリティ運用規定の（え）に対応するために、Z社に委託するサポートメールへのSPFとDKIMの導入方法を検討した。
 SPFには、⑥DNSサーバにSPFで使用する情報を登録することで対応できると考えた。
 DKIMには、図6中のメール中継サーバZで、送信元メールアドレスがsupport@y-sha.comのメールに対してDKIM処理を行うことで対応できると考えた。このとき、顧客のメールサーバが、外部DNSサーバYを使用してDKIMの検査を行うことができるように、DKIM-Signatureヘッダー中のdタグで指定するドメイン名には（j）を登録し、⑦sタグで指定するセレクター名はsel.zshaとして、Y社と異なる鍵を電子署名に利用できるようにする。また、外部DNSサーバYに、sel.zshaセレクター用のDKIMレコードを追加登録する。
 委託時のメールの運用方法がまとまったので、検討結果を上司のW課長に説明したところ、⑧”Z社のサポートチームY以外の部署の従業員が、送信元メールアドレスにsupport@y-sha.comをセットしてサポート担当者になりすました場合、顧客のメールサーバでは、なりすましを検知できない”、との指摘を受けた。そこで、X主任は、追加で実施する対策について調査した結果、S/MIME（Secure/MIME）の導入が有効であることが分かった。

下線⑥について、登録するDNSサーバ名及びDNSサーバに登録する情報を、それぞれ、図1又は図6中の字句を用いて答えよ。：（DNSサーバ名）外部DNSサーバY/y-ns1、（登録する情報）メール中継サーバZのIPアドレス/z-mail1のIPアドレス

「次に、セキュリティ運用規定の（え）に対応するために、Z社に委託するサポートメールへのSPFとDKIMの導入方法を検討した。
SPFには、⑥DNSサーバにSPFで使用する情報を登録することで対応できると考えた。」
「（え）Y社のドメインを利用するメールには、なりすまし防止などの情報セキュリティ対策を講じること」
 これは、「サポートチームYのサポート担当者は、送信元メールアドレスがsupport@y-sha.comにセットされたサポートメールを、社内メールサーバZを使用してY社の顧客宛てに送信する。」とあるように、Y社のドメインであるy-sha.comのメールをZ社から送信することになっても、ドメイン認証が成功するようにSPFに追加設定するということです。
 現在のY社の外部DNSサーバYには、図4のSPFレコードが登録されていました。（「ウ：200.a.b.1」「エ：200.a.b.2」）

 図4は、図1の外部DNSサーバYで登録されていて、ドメインが「y-sha.com」であるメールのIPアドレスが「200.a.b.1」「200.a.b.2」であり、「-all」でそれ以外のIPアドレスからのメールは認証失敗するよう指示するものです。
 したがって、これにZ社のメールサーバを登録する必要があります。

 Z社からのメールがどのように送信されるかの具体的な説明はありませんが、Y社と同様に、社内メールサーバZからメール中継サーバZを介して送信されると考えるのが妥当でしょう。
 したがって、ここで登録するメールサーバは、メール中継サーバZ（z-mail1）のIPアドレスになります。

j：y-sha.com

「このとき、顧客のメールサーバが、外部DNSサーバYを使用してDKIMの検査を行うことができるように、DKIM-Signatureヘッダー中のdタグで指定するドメイン名には（j）を登録し、⑦sタグで指定するセレクター名はsel.zshaとして、Y社と異なる鍵を電子署名に利用できるようにする。」
DKIM-Signatureヘッダー、dタグなどの説明は、前の問題文に以下の記述があります。
「 DKIMにおける送信側は、電子署名データなどを登録したDKIM-Signatureヘッダーを作成して送信するメールに付加する処理（以下、DKIM処理という）を行う。DKIMでは、一つのドメイン中に複数のセレクターを設定することができ、セレクターごとに異なる鍵が使用できる。セレクターは、DNSサーバに登録されたDKIMレコードを識別するためのキーとして利用される。
 DKIM-Signatureヘッダー中のタグの説明を表3に示す。ここで、DKIM-Signatureヘッダーの構成図は省略する。」

「 Y社は、顧客宛てのサポートメールに対するDKIM処理を、メール中継サーバY1及びY2で行っている。Y社では、ドメイン名がy-sha.comでセレクター名がsel.yshaのセレクターを設定している。Y社が送信するメールのDKIM-Signatureヘッダー中のsタグには、図5中に示したセレクター名のsel.yshaが登録されている。」
 dタグ（電子署名を行ったドメイン名）については、顧客のメールサーバが外部DNSサーバYを使用して検査を行うとあるので、Y社のドメインである「y-sha.com」が該当します。

下線⑦について、異なる鍵を利用することによる、Y社におけるセキュリティ面の利点を、50字以内で答えよ。：メール中継サーバZから鍵が漏えいしても、Y社で実施中のDKIMの処理は影響を受けない。

「このとき、顧客のメールサーバが、外部DNSサーバYを使用してDKIMの検査を行うことができるように、DKIM-Signatureヘッダー中のdタグで指定するドメイン名には（j）を登録し、⑦sタグで指定するセレクター名はsel.zshaとして、Y社と異なる鍵を電子署名に利用できるようにする。」
 電子署名について改めて問題文を確認すると、図5、表2から、現状のY社だけからy-sha.comメールを送信する場合には、外部DNSサーバYにセレクター：sel.yshaが「p=yyyy」として公開された公開鍵と対になる秘密鍵がメール中継サーバYに配置されました。

 今回、Z社からy-sha.comメールを送信する際には、外部DNSサーバYにセレクター：sel.zshaが「p=zzzz」として公開された公開鍵と対になる秘密鍵がメール中継サーバZに配置されます。
 それぞれのメール中継サーバの秘密鍵は異なっていることから、これが漏えいした場合でもその影響範囲は限定できることが分かります。
 メール中継サーバZから秘密鍵が漏えいしても、メール中継サーバYでのDKIM処理には影響しないメリットがあります。

 なお、IPAの採点講評では「正答率が低かった。鍵の漏えい時に発生する影響を基に、影響の具体的な内容を導き出してほしい」とありました。

下線⑧について、顧客のメールサーバでは、なりすましを検知できない理由を、40字以内で答えよ。：なりすましメールも、メール中継サーバZから社外に転送されるから

「委託時のメールの運用方法がまとまったので、検討結果を上司のW課長に説明したところ、⑧”Z社のサポートチームY以外の部署の従業員が、送信元メールアドレスにsupport@y-sha.comをセットしてサポート担当者になりすました場合、顧客のメールサーバでは、なりすましを検知できない”、との指摘を受けた。」
 サポートチームY以外の部署とのことで、改めてZ社のネットワーク構成を図6で確認すると、サポートチームYと同等な位置付けでサポートチームAがあり、社内メールサーバZ、メール中継サーバZは共有しています。

 問題文からもサポートチームYに限定してDKIM処理を施すような特別なことはしていないでしょう。
 したがって、サポートチームY以外の部署の従業員かどうか、同じメール中継サーバZから転送されるメールである限り、それを検知することはできません。

 なお、IPAの採点講評では「正答率が低かった。Z社から社外に送信されるメールは、DKIM処理を行う同じメール中継サーバZから送信される構成であることを基に、正答を導き出してほしい」とありました。