応用情報技術者の過去問・解答解説 平成24年秋・午後問9 (電子メールのセキュリティ対策)
応用情報・平成24年秋・午後問9の問題および解答解説。
設問1
- 設問1:社外へのメールをそのまま送らずいったん保留にして,上司が内容を確認した後で送信するシステムを導入した場合,過失による情報漏えい以外にどんなリスクを回避できるか?
↓
故意の情報漏えい。
これは単なる国語の問題だ。
過失の反対は?→故意
と聞かれているようなもの。
設問2
- 設問2:それぞれなんという名前か?
- (a)電子証明書を利用したメール暗号化の標準規格で,共通鍵を受け渡しするのだが,メールクライアントによって未対応のものもある規格は?
- (b)(a)が共通鍵を受け渡しする時に使う方式は?
↓
(a)は S/MIME で,(b)は公開鍵方式。
(a)について解説
まず,MIMEとS/MIMEの違いをおさえておこう。
電子メールにおいて,日本語の2バイト文字を送ったり
BASE64エンコードを介して画像の添付ファイルを送ったりする仕組みがMIMEだ。
そして,MIMEをセキュアにしたものがS/MIMEだ。
S/MIMEは,メールの代表的な暗号化方式であるにもかかわらず,普及しなかった。
問題点のトップは,メールの送信元ではなく,メールのあて先(受信者)に対応が必要ということ。
安全な受信のために,自分用の別個の証明書が必要なのである。これはめんどい。
自分自身ひとりだけにセキュリティ意識があるだけでは,相手方に証明書を持たせることはできないので,対応のしようがないのだ。
なので,本問の問題文中でも「あて先のメールシステムが」未対応なのでできない,という書き方をしている。
(b)について解説
つぎに,公開鍵の基本的な使い方について。
何かを暗号化したい場合,それ自体の暗号化には公開鍵を使わず,共通鍵を使う。
公開鍵で暗号化すると時間がかかるためだ。
そして,共通鍵を暗号化するために公開鍵を使う,というのがPKIの一般的な流れ。
これがわかっていれば,共通鍵の受け渡しに使う方式は公開鍵方式,と即答できるはずだ。
ほかの選択肢を理解する
では,ほかの選択肢の内容も見ておこう。
AESは, 共通鍵暗号方式の代表だ。
共通鍵と言えば,同じくS/MIMEでもメール本文の暗号化は共通鍵を使う。
だけど,メールクライアントが対応すべき方式そのものをずばり答えてはいないので,AESではなくS/MIMEを選ぶべき。
また,S/MIMEで使う共通鍵を暗号化するのは公開鍵方式だから,AESは該当しない。
次に,HTTPSとSSLについてだが,ここは落とし穴だ。
いま考えているのは「メール本体の暗号化」であって,「通信の暗号化」ではない。
SSLを使えば通信経路を暗号化できるが,通信クライアントとメールサーバの間しかセキュリティは担保できず,その他の場所ではメールの中身がばれてしまう。
この問で「HTTPS」を選んでしまったとしたら,セキュリティの仕組みを全然わかっていないかもしれない・・・。
HTTPはWebブラウザに関わるプロトコルであり,
ブラウザからWebメールを見るときの安全を保証するのがHTTPS。
これは, HTTPにSSLを導入したもの。
やはり,ブラウザとメールサーバの間しかセキュリティが担保されず,メールそのものを暗号化する仕組みではない。
ちなみに,SSLの接続方式のひとつがTLSである。SSL/TLSのようにセットにして語る。
通信内容の暗号化と,通信経路の暗号化を分けて考えるようにしよう。
残りの選択肢で,MD5はハッシュ関数。
ハッシュ関数によるメッセージダイジェストの生成は,内容の改ざんを防ぐためのものであり,漏えいは防げない。
なのでMD5はここでは出てこない。
選択肢に「ZIP」があるのは,ネタだろう。
圧縮・解凍しても,情報漏えいのセキュリティは変わらない。
ZIPにパスワードをかければ少し安全になるが,そのパスワードをどうやって伝えるのか?という問題が発生するので意味無し。
設問3
- 設問3:初期パスワードの運用上の問題点2つは?
↓
他人のパスワードが類推しやすいことと,初期パスワードに有効期限が無いこと。
問題文には「利用開始後ただちに変更するよう指示する」とあり,
なんでこういう指示がわざわざ必要になるのかを考えれば解答できる。
設問4(1)
- 設問4(1)上司のメールチェックがあっても,ファイルの誤添付が見抜けなかったとき,ファイル復号化のパスワードがあて先に届くというシステムには問題がある。どういう問題か?
↓
メール受信者が容易にファイルを復号化できること。
なんでこういう答えになるかというと,問題文の中でとられた対処策を見ればよい。
パスワードをあて先に送るのをやめる,という処置を取っている。
つまり,暗号化されたファイルと,復号化用のパスワードと,同時に二つとも送るのをやめる,ということだ。
どちらもいっぺんに保持した状態になってしまうのを避けようとしている。
設問4(2)
- 設問4(2)ファイル暗号化のパスワードを送信者自身が受け取るように変更した場合,送信者は何を確認して,ついでどのような手順を取ればよいか。
↓
上司が見抜けなかったファイル誤添付を,自分でかわりにチェックすればよいということだ。
よって,「ファイルの内容とあて先が正しいこと」をチェックし,
ついで「パスワードをメール以外の手段であて先に送る」。
後者の解答は,問題文中で,わざわざパスワードをあて先に送らないように設定変更した行為の目的を考えれば解答できる。
全体の考え方
メールのセキュリティ実装方法について,ざっと知っていれば解ける。
メール本文の暗号化と,通信経路の暗号化が異なる,ということは確実におさえていないときつい。
それがわかっていて,なおかつPKIの概要(公開鍵と共通鍵の使い分けなど)も把握していれば,
問題文の意図をじっくり読んで把握できれば,常識的な手順の類推で解けるはず。
この問題に類似した例題
S/MIMEにまつわる関連問題:
問56 S/MIMEの利用条件 平成24年秋期|ITパスポート試験.com
http://www.itpassportsiken.com/kakomon/24_aki/q56.html
S/MIMEとは : 情報セキュリティスペシャリスト - SE娘の剣 -
http://sc.seeeko.com/archives/3809419.html
- H22SC春午前II
問36 S/MIME 平成23年秋期|応用情報技術者試験.com
http://www.ap-siken.com/kakomon/23_aki/q36.html
問36 HTTPS通信 平成25年春期|応用情報技術者試験.com
http://www.ap-siken.com/kakomon/25_haru/q36.html
問36 PKI 平成24年春期|応用情報技術者試験.com
http://www.ap-siken.com/kakomon/24_haru/q36.html
問79 SAML 平成20年秋期|応用情報技術者試験.com
http://www.ap-siken.com/kakomon/20_aki/q79.html
問59 IPsec 平成19年秋期|応用情報技術者試験.com
http://www.ap-siken.com/kakomon/19_aki/q59.html
AESと共通鍵暗号方式についての関連問題:
問38 RSA 平成25年秋期|応用情報技術者試験.com
http://www.ap-siken.com/kakomon/25_aki/q38.html
問36 AES オリジナル模擬試験1|応用情報技術者試験.com
http://www.ap-siken.com/kakomon/01_moshi/q36.html
問73 暗号方式に関する記述 平成20年春期|応用情報技術者試験.com
http://www.ap-siken.com/kakomon/20_haru/q73.html
問71 公開鍵暗号方式 平成20年秋期|応用情報技術者試験.com
http://www.ap-siken.com/kakomon/20_aki/q71.html
問40 公開鍵暗号方式 平成22年秋期|応用情報技術者試験.com
http://www.ap-siken.com/kakomon/22_aki/q40.html
MD5などのハッシュ関数についての関連問題:
問38 ハッシュ関数の特徴 平成24年春期|応用情報技術者試験.com
http://www.ap-siken.com/kakomon/24_haru/q38.html
HTTPS通信の技術 / 応用情報技術者 平成25年・春 問36
http://www.web-mondai.com/common-question-data/detail/bid/31/qn/36
平成24年 秋期 応用情報技術者 午前 問38
http://www.k4.dion.ne.jp/~type_f/24A_L3/24A_L3_38.html
勉強用の資料
S/MIMEはメールの代表的な暗号化方式であるにもかかわらず,
各人が自分に安全にメールを送ってもらうために自分の公開鍵証明書を取得する必要があるので普及しない:
S/MIMEとPGPが普及しない理由 : 情報セキュリティスペシャリスト - SE娘の剣 -
http://sc.seeeko.com/archives/3967986.html
- S/MIMEは普及していない。各人が自分の証明書を持ち、相手には公開鍵証明書を持ってもらう必要があるから
S/MIMEを使ったフィッシング詐欺対策
http://www.atmarkit.co.jp/fsecurity/rensai/mailauth03/mailauth01.html
- S/MIMEの暗号には弱点があります。それはメールを送る相手先(受取人)が証明書を持っていないといけないということです。
セキュリティ用語事典 [S/MIME(Secure MIME)]
http://www.atmarkit.co.jp/aig/02security/smime.html
- 電子メールの代表的な暗号化方式
研修で教えてくれない!:第18回「PGP? S/MIME? 電子署名の違いを学ぶ」 - 誠 Biz.ID
http://bizmakoto.jp/bizid/articles/0710/09/news076.html
- PGPもS/MIMEも普及しない理由は,PGPについてはOutlookなどのメジャーなメールクライアントが標準では対応していないってこともあるし、S/MIMEの場合は、認証局にお金を支払わなきゃならないから
電子メール(S/MIMEとPGP) TCP/IP入門
http://atnetwork.info/tcpip2/tcpip243.html
- S/MIMEでは、公開鍵の正当性を正当な認証局が署名してくれます
- PGPでは、公開鍵は、友達の輪の考え方から、ある程度しか信用することができません。
電子メールの暗号化について
http://www.aichi-c.ed.jp/contents/network/angou/hontai.htm
- S/MIME方式は,認証局から発行された証明書を用いるRSA公開鍵暗号方式です。公開鍵の所有者を正しく確認するための認証手続きが必要です。このようなデジタル証明書の利用については,有料となります。
S/MIMEは公開鍵を使った方式だが,メール本文は公開鍵で暗号化するのではない。
公開鍵を使うと時間がかかるので,共通鍵で暗号化するだけにとどめ,その共通鍵の受け渡しのために公開鍵暗号化を使っている:
S/MIMEでメールを暗号化するときの鍵は何? : 情報セキュリティスペシャリスト - SE娘の剣 -
http://sc.seeeko.com/archives/4314752.html
- メールの暗号化は、受信者の公開鍵で暗号化されているのではない。公開鍵暗号化方式では、処理に時間がかかるので、暗号化する鍵を公開鍵暗号化方式で暗号化し、メール本文はその共通鍵で暗号化する。
電子メールの暗号化技術 : 情報セキュリティスペシャリスト - SE娘の剣 -
http://sc.seeeko.com/archives/3809431.html
- APOPは, メールを受信するときのパスワードを暗号化する仕組みで、メール本文は暗号化されない。 メールを暗号化するのはPGPとS/MIME
S/MIMEはメール本体の暗号化であって,それとは別に通信経路の暗号化としてSSLを使ったPOP3sやSMTPsがある。
しかしそれだと,クライアントとメールサーバ間のセキュリティしか担保されない。
HTTPSはSSLを使っているものの,Webメール向けである。
「メールを暗号化している」の70%が、SSLを暗号化と誤解 - ワークスタイル - nikkei BPnet
http://www.nikkeibp.co.jp/style/biz/skillup/spam/080428_91st/
- SSL対応Webメールは、パソコンとメールサーバー間だけを暗号化する。相手に届くまでの全区間を暗号化するわけではない。
メールの送受信を暗号化するPOP3s/IMAP4s/SMTPs(over SSL)とは - @IT
http://www.atmarkit.co.jp/fwin2k/win2ktips/973mailovssl/mailovssl.html
- POP3・SMTP・IMAP4は,いずれもパスワードやメール内容などの送受信データをまったく暗号化しない、という欠点がある。
- POPにはパスワードを平文で送出しないAPOP認証というオプションがあるものの、あまり普及していない。
- その対策として,SSLを通してPOP3/IMAP4/SMTPによる通信を行うのが、POP3s/IMAP4s/SMTPs
メールの送受信でSSLを利用して暗号化する- @IT
http://www.atmarkit.co.jp/fwin2k/win2ktips/1100mailssl/mailssl.html
- メーラでメールそのものを1通ずつ暗号化するセキュリティ対策の代表はS/MIME。それに対し,通信の経路を暗号化するのがSSLで,SSLの接続方式の一つがTLS
TLS/SSLで電子メールの安全性を高める
http://www.digicert.ne.jp/howto/basis/mail_tls_ssl.html
- TLS/SSL利用の暗号化で安全性が確保されるのは送信者側のクライアントマシンと自社メールサーバー間だけで、そこから先は暗号化が保障されない
この問題の,正式な問題と公式の解答:
公式の問題と解答:
個人的に執筆された問題の写しと解答:
