情報処理安全確保支援士(情報セキュリティスペシャリスト)試験に合格するためのサイトです。
過去問を多数引用しながら、基礎知識をしっかり学んでもらうように作ってあります。
また、情報処理安全確保支援士(情報セキュリティスペシャリスト)を楽しく学べるように工夫したいと思います。
カテゴリ:

10.クライアントセキュリティ > 10.2 電子メール

完全にきれいに整理できるものではないが、大枠としては以下と考えてもらってよい。

問題点やセキュリティの脅威

対策例

メール全体

①メール本文が暗号化されていない

S/MIMEPGP

送信メールプロトコル(SMTP

②認証無しで送信が可能である

SMTP AUTHPOP before SMTP

③送信元が詐称される可能性がある

SPFSenderIDDKIM

④大量の迷惑(SPAM)メールが送信される

OP25B

受信メールプロトコル(POP3)

⑤認証パスワードが暗号化されていない。

APOP

加えて、オープンリレー対策もありますが、こちらはサーバ側のセキュリティ対策になります。
http://sc.seeeko.com/archives/5432072.html

利用者が電子メールを受信する際の認証情報を秘匿できるように、パスワードからハッシュ値を計算して、その値で利用者認証を行う仕組みは何か。(H23SC春午前2問5参照)
問12-1や12-2との違いをきちんと理解しよう。今回のプロトコルは認証時のセキュリティ対策のみです。メールそのものは暗号化しない。

今ではあまり考えられないのですが、POP3は、パスワードが平文(「ひらぶん」と読む。暗号化されていないという意味)で流れる。
だったらパケットキャプチャしたら、パスワードがばればれ。
※以下はPOP3のパケットをキャプチャーした。パスワードが「passwd」であることが分かる。
pop
それを解決するための仕組み。答えはAPOP。
ですが、昔のOutlookやOutlookExpressがAPOPに未対応であるため、あまり普及していない。

設定方法
Windows Liveメールの場合、アカウントのプロパティにて「サーバー」のタブから設定をする。
apop

過去問をみてみましょう。
〔 a 〕〔 c 〕〔 d 〕に入れる適切な字句を解答群の中から選び、記号で答えよ。(H23SC春PMⅡ問1設問1より)

(2)社内メールサーバでのメールボックス保存
P社ドメイン名あてのメールは,メールボックス保存プログラムである[ b ]によって,従業員用メールアドレス又はサーバ管理用メールアドレスごとのメールボックスに保存される。
(3)PCでのメール送受信
・メール送信
次の二つのどちらかを使用可能であるが, p社のPCでは(a)を使用している。
(a) PCの〔 c 〕は、SMTPで25番ポートを使用し、社内メールサーバの〔 a 〕にメールを送信する。
(b) PCの〔 c 〕はSMTPで587番ポートを使用し、社内メールサーバの〔 d 〕にメールを送信し、〔 d 〕は、〔 a 〕にメールを転送する。
・メール受信
PCの〔 c 〕は,  P0P3を使用し,社内メールサーバのMRA (Mail Retrieval Agent)と通信し,従業員用メールアドレス又はサーバ管理用メールアドレスのメールボックスからメールを取り出す。
MRAのメール取り出し中に,ウイルス対策ソフトのウイルススキャン(以下, P0P3スキャンという)を行うことも可能である。POP3スキャンでウイルスを検知した場合,メール本文をウイルス検知通知に置き換える。しかし, PCのウイルス対策ソフトに同等機能があるのでPOP3スキャンを使用していない。

解答群
(ア) MDA(Mail Delivery Agent)(イ)MSA(Mail Submission Agent)
(ウ) MTA (Mail Transfer Agent)(エ)MUA(Mail User Agent)
セキュリティというより、用語の問題でした。

答えは以下
a ウ b ア c エ d イ

整理しましょう。
(a) PCのMUA(Mail User Agent)は、SMTPで25番ポートを使用し、社内メールサーバのMTA (Mail Transfer Agent)にメールを送信する。
(b) PCのMUA(Mail User Agent)はSMTPで587番ポートを使用し、社内メールサーバのMSA(Mail Submission Agent)にメールを送信し、MSA(Mail Submission Agent)は、MTA (Mail Transfer Agent)にメールを転送する。

①MUA(Mail User Agent)
PCのメールソフトです。Outlookであったり、Thunderbirdと思えばいいでしょう
②MTA (Mail Transfer Agent)
メールサーバと考えていいでしょう。SMTPによるメール通信をします。別の過去問(H29春SC午後Ⅱ問2)では、「メールの転送を行うMTAプログラム」とあります。
③MSA(Mail Submission Agent)
SMTP-AUTHなどで認証するときなどに利用されます。この場合、問題文にあるように、PC(MUA)⇒MSA⇒MTAという流れでメールが転送されます。ただ、MSAとMTAは同じ筐体のメールサーバです。
④MDA(Mail Delivery Agent)
問題文に「メールボックス保存プログラムであるMDAによって,従業員用メールアドレス又はサーバ管理用メールアドレスごとのメールボックスに保存される。」とあるように、メール保存のプログラムです。別の過去問(H29春SC午後Ⅱ問2)では、メールをメールボックスに格納するMDAプログラム」とあります。
LinuxでいうDovecotのプログラムと考えるとなるほどと思う人もいるでしょう。

通常、MSA,MTA、MDAは一つのメールサーバで提供されます。

同様の問題は、H29春SC午後Ⅱ問2でも問われています。このときも、MDAとMTAが問われました。

過去問(H29春SC午後Ⅱ問2)には「外部メールサーバの転送機能の設定を表3に示す。この設定によって、オープンリレーが防止されている。」とあります。

ごくごく自然というか、一般的な設定なので、理解しておきましょう。

上記過去問より

a

ここまでは、比較的技術的なセキュリティ対策の問題を出題してきた。
ここでは、「運用面」の対策を考えよう。
過去問にて、メールに関するセキュリティ要件が掲載されている。
・スパムと判断されたメールは、できるだけ管理負荷の少ない方法で削除する。
・社外から社内、又は社内から社外へのメールでは、特定の拡張子が付いた添付ファイルを削除する。
・添付ファイルのウイルス検査を行う。
・添付ファイルがパスワード付きファイル又は暗号化ファイルの場合は、内容を確認できないので、そのまま転送する。
・PCのウイルス対策ソフトとゲートウェイ型のウイルス対策ソフトを導入する。二つの製造元は別にする。
図4 メールに関するセキュリティ要件(H20SU午後Ⅱ問1より引用)

Question
内部メールサーバと外部メールサーバを分ける理由を、セキュリティの観点で述べよ。

Answer
外部からのメールを受信する必要があるので、DMZに設置する外部メールサーバは必須である(図の①)。
このとき、外部メールサーバしかないと、自社に送られたメールがDMZ(外部)に保存される。つまり、攻撃されるリスクがある。そこで、内部メールサーバを設置し、送られてきたメールを内部に保存するのである(図の②)。
また、社内間のメールは機密メールが多いと思う。それらの通信は内部メールサーバだけで完結できる。不用意に外部を経由しないことにより、メールの機密性を高めるメリットもある(図の③)。

内部メールサーバと外部メールサーバを分ける理由_情報セキュリティスペシャリスト試験

11d7b807
セキュリティがうるさくなって、
メールの誤送信やFAXの誤送信が問題になっていますね。
仕事にならない!って思うときもあります。



まあ、たしかにそうだ。
対策であるが、誤送信と悪意のある情報漏えいを分けて考える必要がある。
以下のURLが詳しく書かれてある。たとえば、「短縮ダイヤルの強制」「複数人でのFAX送信」「メールが即座に送信されないシステム」など
http://www.meti.go.jp/policy/it_policy/privacy/2-4-7.pdf

一方、悪意のある情報漏えいはこれでは防げない。上記は、善人であることが前提だからだ。
対策としては、ログ(メールアーカイブ)にて記録を残すのが現実的な解決策かもしれない。すべてのメール送信の記録を保存しておくことで、心理的な抑止効果になる。

このページのトップヘ