テクニカルエンジニア(ネットワーク)過去出題問題

 平成11年 午後1 問3

最終更新日 2004/01/24
webmaster@tomnetwork.net

Tomのネットワーク勉強ノート
 過去問(午後)
   テクニカルエンジニア (ネットワーク)過去問(午後)
     テクニカルエンジニア(ネットワーク)過去問 平成11年 午後1 問3

3

電子メールのセキュリティに関する次の記述を読んで、設問1〜4に答えよ。

書籍販売会社のF社は、店頭での販売を行うかたわら、早くからインターネットを利用し
た書籍販売に力を入れてきた。WWWサーバを自社内に設置して、顧客による書籍の検索を
可能にし、注文を受け付けている。また、顧客の問合せとその回答には、電子メールを利
用してきた。
F社はこれまでに、社員全員が電子メールを利用できるよう逐次設備を拡充してきている。
現在では、社員の内60人は従来から利用してきた電子メールシステム(以下、Cメールとい
う)を利用し、残り210人はグループウェアを利用して電子メールを送受信している。イン
ターネット販売用システムには、Cメールが必須となっており、簡単にはなくすことがで
きない。このため、Cメールを搭載したPC(以下、CPという)とグループウェアを搭載した
PC(以下、GPという)の2種類を混在使用している。
現在のF社社内システム構成を図に示す。


図 F社社内システム構成

外部からきたメールは、インターネットメールサーバにいったん格納され、ファイアウ
ォールでチェック後、Cメールサーパに転送される。グループウェアユーザをあて先とす
るメールは、更にメッセージ転送サーバで変換された後、グループウェアサーバに転送さ
れる。

最近、F社のインターネットメールサーバがジャンクメールの中継点に使われるという事
件が発生した。すなわち、外部の何者かがF社のインターネットメールサーバを利用して、
ほかのサイトに大量のメールを発信していることが発見された。これに対し、F社は次の
緊急対策を考えた。

@発見された当日の夕方から翌朝まで、とりあえずFWを停止する。
Aインターネットメールサーバの設定を変更し、犯人とおぼしきIPアドレスからのメッセ
  ージを受け付けないようにする。
Bインターネットメールサーバソフトをバージョンアップして、メールアドレスのチェッ
  ク機能を入れ、中継点になり得ないようにする。

F社は翌朝までFWを停止し、その間にA及びBの検討を行った結果、どちらの案も実施可
能であることが分かった。しかし、実際にはBを実施し、Aは実施しなかった。
この件はこれらの対策によって沈静化した。

F社ではその後、社内でのセキュリティ意識の高まりから、コンサルティング会社のG社
の指導を受けて、社内セキュリティポリシを策定した。このセキュリティポリシでは、機
密区分を定義して、社内情報を(ア)社外利用可(レベル1)、(イ)社内利用だけ(レベル2)、
(ウ)社内関係者だけ(レベル3)の三つのレベルに分け、それぞれの運用方法を定めている。
また、社内メールはすべて暗号化する運用を目指すものとした。
F社は更に、G社に対し具体的なセキュリティ改善策の提案を依頼した。

G社による改善策を次に示す。

(1)インターネットメールサーバとファイアウォールの分離
 インターネットメールサーバとファイアウォールの共存は良くないと考えられます。サ
 ーバ機を購入して公開セグメントに置き、インターネットメールサーバをそちらに移して、
 ファイアウォールから切り離すことをお勧めします。なぜなら、インターネットメールサ
 ーバが破られたとき、ファイアウォールも破られる可能性が高いからです。

(2)パスワードの運用
 Cメールでもグループウェアでも、個人別にパスワードが決められ、自分あてのメールに
 は、自分しかアクセスできないようになっています。そのうちグループウェアに関しては、
 パスワードの暗号化もなされています。しかしながら、パスワードを【 a 】する運用が
 なされていません。これを改善するために、システム管理機能の利用をお勧めします。こ
 の機能は現在利用されていませんが、グループウェアがもっている機能です。具体的には、
 パスワードの利用可能日数の指定によって、利用者が同一パスワードを長期間使い続けら
 れないようにする運用が可能です。さらに、【 b 】パスワードは最大20個までチェック
 され、これらを再使用できなくすることが可能です。

(3)パスワードの暗号化
 Cメールの現在のバージョンでは、パスワードが暗号化されておらず、また入力されたパ
 スワードに対して、利用可能日数のチェックが行われていません。これを解決するために
 Cメールのバージョンアップをお勧めします。

(4)メールの暗号化
 GPからGPへのメールは暗号化されていますが、GPとCP間、及びCPからCPへのメールは暗
 号化されていません。対策としてGPとCPすべてに、共通の暗号化ソフトを導入することが
 考えられます。しかしそうした場合、GPからCPにメールを送る際のGPでの実際の運用では、
 メールの送信の前に暗号化処理を実施し、その後で送信するという手間が発生し、暗号化
 ソフトが積極的には利用されないと推測されます。現在GP間で行われているように、送る
 側も受ける側も意識しないで、すべてのメールを暗号化する運用を実現することができま
 せん。そこで、共通の暗号化ソフトを導入する方法でなく、CPにも【 c 】する方法をご
 検討ください。

(5)機密区分による運用
 現在は機密区分を利用する運用となっていません。御社では、すでにセキュリティポリ
 シ策定時に三つの機密区分を定義しています。グループウェアをカスタマイズすることに
 よって、メールのヘッダ情報に機密区分を設け、どのレベルか選択できるようにする運用
 が可能です。メールを作成する際に画面上のボタンをクリックすることによって、機密区
 分を指定できるようにします。レベル2、3の場合は、【 d 】の発信を禁止し、レベル3の
 場合は、メール転送を禁止する機能の作り込みをお勧めします。
 F社はこれらの改善策を吟味した結果、次の結論を出した。

@改善策(1)〜(4)は、速やかに実施する。
A改善策(5)については、一部変更して実施し、併せて提案外の対策も実施する。


設問1

ジャンクメールに関する次の問いに答えよ。

(1) F社が対策案Aを実施しなかった理由を、20字以内で述べよ。

(2) 対策案Bに“メールアドレスのチェック"とあるが、具体的には何をどのようにチェ
ックするのかを、40字以内で述べよ。

(3) ジャンクメールの中継点にされても、F社内のファイルが漏えいするわけでも、壊さ
れるわけでもない。困る理由は何かを、40字以内で述べよ。

設問2

本文中の【 a 】〜【 d 】に入れる適切な字句を、それぞれ10字以内で答えよ。

設問3

改善策(4)では、メール自体の暗号化について述べている。ファイアウォールによって守
られているのに、暗号化する理由を、20字以内で述べよ。

設問4

改善策(5)では、“機密区分を指定できるようにする"ことを提案しているが、一部変更
し、提案外の対策を併せて実施することになった。これはF社内で、利用者が指定しなけ
れば意味がないし、また指定しても間違っていれば効果は上がらないなどの意見があった
からである。改善策(5)に関する次の問いに答えよ。

(1) 改善策(5)をどのように変更すればよいかを、20字以内で述べよ。

(2) 社内システムの変更に加えて、F社が実施すべき“提案外の対策"を、40字以内で述べ

Tomのネットワーク勉強ノート
 過去問(午後)
   テクニカルエンジニア (ネットワーク)過去問(午後)
     テクニカルエンジニア(ネットワーク)過去問 平成11年 午後1 問3