基本情報技術者試験「メール暗号化」の問題
U社では、取引先と機密性の高い内容をメールでやり取りする際、本文が経路上で盗み見られることと、送信者が偽装されることの両方を懸念している。標準的なメールの仕組みの上でこの両方に対応する手段として、最も適切なものはどれか。
アS/MIMEを用い、証明書をもとに本文を暗号化したうえで送信者の署名を併せて付ける。
イ本文をパスワード付きの圧縮ファイルにまとめて添付し、そのパスワードは別便で後送する。
ウ件名の先頭に【機密】と付け、取扱いに注意するよう受信者へ文面で依頼する。
エ送信に先立ち上長の承認を得る手順を定め、誤送信や不正な送信を組織的に抑える。
正解
ア.S/MIMEを用い、証明書をもとに本文を暗号化したうえで送信者の署名を併せて付ける。
懸念は『経路上の盗み見(機密性)』と『送信者の偽装(真正性)』の二つである。S/MIMEは証明書に基づきメール本文を暗号化して機密性を確保し、同時に電子署名を付与して送信者が本人であること・改ざんがないことを保証する。標準的なメールクライアントの仕組みの上で両方に同時対応できる。
?選択肢ごとの解説
ア ○懸念は『経路上の盗み見(機密性)』と『送信者の偽装(真正性)』の二つである。S/MIMEは証明書に基づきメール本文を暗号化して機密性を確保し、同時に電子署名を付与して送信者が本人であること・改ざんがないことを保証する。標準的なメールクライアントの仕組みの上で両方に同時対応できる。
イ ×パスワード付き圧縮は本文の機密性に一定の効果はあるが、送信者が本人であることの保証(偽装防止)には対応しておらず両懸念を満たさない。
ウ ×件名への注意表記は受信者への呼びかけにすぎず、盗み見も送信者偽装も技術的に防げない。
エ ×上長承認は内部の送信管理であり、経路上の盗み見や外部からの送信者偽装には対応しない。
✎くわしく
S/MIMEやPGPはメールに対し暗号化(機密性)と電子署名(真正性・完全性・否認防止)を提供する。証明書(公開鍵)の交換が前提となる。暗号化は受信者の公開鍵で、署名は送信者の秘密鍵で行うという鍵の使い分けが理解の要点である。
✓本番での押さえどころ
試験のコツ
メールで『盗み見防止+送信者偽装防止』の両方が論点なら、暗号化と署名を備えるS/MIME(やPGP)が正解。
覚え方
S/MIMEは『封筒で隠す(暗号化)+差出人を保証する印(署名)』の両方を一度に。
よくある誤り
パスワード付き添付(PPAP)で十分と考えるが、それは機密性の一部のみで、送信者の真正性保証という第二の懸念に応えられない。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0045