情報処理安全確保支援士(情報セキュリティスペシャリスト)試験に合格するためのサイトです。
過去問を多数引用しながら、基礎知識をしっかり学んでもらうように作ってあります。
また、情報処理安全確保支援士(情報セキュリティスペシャリスト)を楽しく学べるように工夫したいと思います。
カテゴリ:

10.クライアントセキュリティ > 10.2 電子メール

完全にきれいに整理できるものではないが、大枠としては以下と考えてもらってよい。

問題点やセキュリティの脅威

対策例

メール全体

①メール本文が暗号化されていない

S/MIMEPGP

送信メールプロトコル(SMTP

②認証無しで送信が可能である

SMTP AUTHPOP before SMTP

③送信元が詐称される可能性がある

SPFSenderIDDKIM

④大量の迷惑(SPAM)メールが送信される

OP25B

受信メールプロトコル(POP3)

⑤認証パスワードが暗号化されていない。

APOP


利用者が電子メールを受信する際の認証情報を秘匿できるように、パスワードからハッシュ値を計算して、その値で利用者認証を行う仕組みは何か。(H23SC春午前2問5参照)
問12-1や12-2との違いをきちんと理解しよう。今回のプロトコルは認証時のセキュリティ対策のみです。メールそのものは暗号化しない。

今ではあまり考えられないのですが、POP3は、パスワードが平文(「ひらぶん」と読む。暗号化されていないという意味)で流れる。
だったらパケットキャプチャしたら、パスワードがばればれ。
※以下はPOP3のパケットをキャプチャーした。パスワードが「passwd」であることが分かる。
pop
それを解決するための仕組み。答えはAPOP。
ですが、昔のOutlookやOutlookExpressがAPOPに未対応であるため、あまり普及していない。

設定方法
Windows Liveメールの場合、アカウントのプロパティにて「サーバー」のタブから設定をする。
apop

〔 a 〕〔 c 〕〔 d 〕に入れる適切な字句を解答群の中から選び、記号で答えよ。(H23SC春PMⅡ問1設問1より)

(a) PCの〔 c 〕は、SMTPで25番ポートを使用し、社内メールサーバの〔 a 〕にメールを送信する。
(b) PCの〔 c 〕はSMTPで587番ポートを使用し、社内メールサーバの〔 d 〕にメールを送信し、〔 d 〕は、〔 a 〕にメールを転送する。

解答群
(ア) MDA(Mail Delivery Agent)(イ)MSA(Mail Submission Agent)
(ウ) MTA (Mail Transfer Agent)(エ)MUA(Mail User Agent)
セキュリティというより、用語の問題でした。
結構難しいと思いますが、4択なので、正解したい。

答えは以下
a ウ c エ d イ

ここまでは、比較的技術的なセキュリティ対策の問題を出題してきた。
ここでは、「運用面」の対策を考えよう。
過去問にて、メールに関するセキュリティ要件が掲載されている。
・スパムと判断されたメールは、できるだけ管理負荷の少ない方法で削除する。
・社外から社内、又は社内から社外へのメールでは、特定の拡張子が付いた添付ファイルを削除する。
・添付ファイルのウイルス検査を行う。
・添付ファイルがパスワード付きファイル又は暗号化ファイルの場合は、内容を確認できないので、そのまま転送する。
・PCのウイルス対策ソフトとゲートウェイ型のウイルス対策ソフトを導入する。二つの製造元は別にする。
図4 メールに関するセキュリティ要件(H20SU午後Ⅱ問1より引用)

Question
内部メールサーバと外部メールサーバを分ける理由を、セキュリティの観点で述べよ。

Answer
外部からのメールを受信する必要があるので、DMZに設置する外部メールサーバは必須である(図の①)。
このとき、外部メールサーバしかないと、自社に送られたメールがDMZ(外部)に保存される。つまり、攻撃されるリスクがある。そこで、内部メールサーバを設置し、送られてきたメールを内部に保存するのである(図の②)。
また、社内間のメールは機密メールが多いと思う。それらの通信は内部メールサーバだけで完結できる。不用意に外部を経由しないことにより、メールの機密性を高めるメリットもある(図の③)。

内部メールサーバと外部メールサーバを分ける理由_情報セキュリティスペシャリスト試験

11d7b807
セキュリティがうるさくなって、
メールの誤送信やFAXの誤送信が問題になっていますね。
仕事にならない!って思うときもあります。



まあ、たしかにそうだ。
対策であるが、誤送信と悪意のある情報漏えいを分けて考える必要がある。
以下のURLが詳しく書かれてある。たとえば、「短縮ダイヤルの強制」「複数人でのFAX送信」「メールが即座に送信されないシステム」など
http://www.meti.go.jp/policy/it_policy/privacy/2-4-7.pdf

一方、悪意のある情報漏えいはこれでは防げない。上記は、善人であることが前提だからだ。
対策としては、ログ(メールアーカイブ)にて記録を残すのが現実的な解決策かもしれない。すべてのメール送信の記録を保存しておくことで、心理的な抑止効果になる。

このページのトップヘ