やさしいネットワークとセキュリティ

情報処理安全確保支援士、ネットワークスペシャリスト、技術士として、資格取得を目指す方に有益な情報を発信します。

平成29年度 春期 基本情報技術者試験 午後 問1【ファイルの安全な受渡し】

 情報処理技術者試験、情報処理安全確保支援士試験の午後問題を通じて、情報セキュリティの知識を体系的に蓄積していきましょう。

 キーワードに加え、設計やインシデント対応能力をシミュレーションできる良い学びの場ですので、試験合格はもちろん、情報処理安全確保支援士となった後も能力向上のために学習できるいい機会です。

 今回は、「電子メール」の「ファイルの安全な受渡し」を取り上げた「平成29年度 春期 基本情報技術者試験 午後 問1」です。

 問題文中、設問に該当する部分ですぐに解答を説明しています。

 ストーリーとして何度も読みこなすと、自然に記憶に定着してくると思います。

平成29年度 春期 基本情報技術者試験 午後 問1

問1 ファイルの安全な受渡しに関する次の記述を読んで、設問1〜3に答えよ。

 情報システム会社のX社では、プロジェクトを遂行する際、協力会社との間で機密情報を含むファイルの受渡しを手渡しで行っていた。X社は、効率化のために、次期プロジェクトからは、インターネットを経由してファイルを受け渡すことにした。

 X社で働くAさんは、ファイルを受け渡す方式について検討するように、情報セキュリティリーダであるEさんから指示された。Aさんは、ファイルを圧縮し、圧縮したファイルを共通鍵暗号方式で暗号化した上で電子メール(以下、メールという)に添付して送信し、別のメールで復号用の鍵を送付する方式をEさんに提案した。しかし、Eさんから”①Aさんの方式は安全とはいえないとの指摘を受けた。

①の理由(4択)

・圧縮してから暗号化する方式は、暗号化してから圧縮する方式よりも解読が容易である。(不正解)

 どちらの方式も暗号の強度は同じです。

・圧縮ファイルを暗号化してもファイル名は暗号化されない。(不正解)

 ファイル名が暗号化されなくても、ファイル内のデータが暗号化されていれば安全といえます。

・共通鍵暗号方式は、他の暗号方式よりも解読が容易である。(不正解)

 共通鍵や公開鍵の暗号方式による暗号の強度に違いはありません。暗号の強度は使用する暗号アルゴリズムによって決まります。

・ファイルを添付したメールと、鍵を送付するメールの両方が盗聴される可能性がある。(正解)

 両方のメールが盗聴された場合、ファイル内のデータが復号されることになります。このメールの方式は実際に利用されている場合が多いのですが、平文で送るより安全性が高いという程度であり、根本的な安全対策になっているとは言えません。

 Aさんは、暗号化について再検討し、圧縮したファイルを公開鍵暗号方式で暗号化してメールに添付する方式をEさんに提案したところ、”その方式で問題ないが、相手の(a:公開鍵)を入手する際には、それが相手のものであると確認できる方法で入手する必要がある点に注意するように”と言われた。

a:公開鍵

 公開鍵暗号方式で暗号化する場合、送信側は受信者の公開鍵で暗号化し、受信者側では受信者しか持たない秘密鍵で復号します。受信者の公開鍵が偽装されていたりすると第三者に盗聴される危険性があるため、公開鍵の真正性が保証できる入手方法を用いる必要があります。

 次期プロジェクトでは、協力会社であるP社、Q社、R社及びS社と協業する。プロジェクトの期間は12か月である。Aさんは、各協力会社との間でファイルを受け渡す方式について、Eさんから次のように指示されたので、更に検討を進めることにした。

〔ファイルを受け渡す方式に関するEさんからの指示〕

(1)メールを使用する方式以外も検討すること。

(2)ファイルを受け渡す方式は、協力会社ごとに異なっていてもよい。

(3)協力会社間ではファイルを受け渡さない。

(4)ある協力会社との間で、ファイルを受け渡すためにアカウントを登録する必要があるシステムを使う場合、その会社からプロジェクトに参加する社員全員のアカウントを登録すること。

(5)受け渡すファイルの機密度に合った方式を選択すること。機密度には”低”と”高”の2種類がある。X社のセキュリティポリシでは、機密度が”高”のファイルを、オンラインストレージサービスを利用して受け渡すことを禁止している。

(6)費用(初期費用とプロジェクト期間中の運用費用の合計)が最も安い方式を選択すること。

 各協力会社の参加人数及び受け渡すファイルの機密度は、表1のとおりである。

f:id:aolaniengineer:20200208041227p:plain

  Aさんは、ファイルを受け渡す方式として、次の三つの候補を検討した。

〔ファイルを受け渡す方式の候補〕

(1)VPNとファイルサーバ

 X社の拠点と協力会社の拠点との間でVPN環境を構築し、ファイルを受け渡すためのファイルサーバをX社に設置する。協力会社ごとに、異なるVPN環境の構築と異なるファイルサーバの設置を行う。この方式では、一つの協力会社につき、初期費用としてVPN環境の構築とファイルサーバの設置に100,000円、運用費用としてファイルサーバの運用及びVPN利用に、合わせて月額50,000円が掛かる。初期費用、運用費用ともに利用者数の多寡による影響はない。

(2)オンラインストレージサービス

 インターネット上で提供されているオンラインストレージサービスを利用してファイルを受け渡す。このサービスは、利用者にHTTP over TLSでのアクセスを提供しており、ファイルを安全に受け渡せる。この方式では、初期費用は掛からないが、運用費用として利用者1人当たり月額500円が掛かる。X社では、全社員がこのサービスを利用することにしたので、X社の社員についての運用費用はこのプロジェクトの費用には含めない。

(3)暗号化機能付きメールソフト

 公開鍵暗号方式を使った暗号化機能付きメールソフトを導入し、メールにファイルを添付して受け渡す。この方式を安全に運用するためには、導入時にプロジェクトの参加者全員に対して、メールソフトの利用方法などに関する研修が必要である。この方式では、初期費用として、メールソフトの導入及び研修に、利用者1人当たり30,000円が掛かるが、運用費用は掛からない。X社では、全社員がこのメールソフトを利用することにしたので、X社の社員についての初期費用はこのプロジェクトの費用には含めない。

 Aさんは、各協力会社との間でファイルを受け渡す方式について、Eさんからの指示に基づき協力会社ごとに選択すべき方式を検討した。その結果と、費用(初期費用とプロジェクト期間中の運用費用の合計)を、表2に示す。

f:id:aolaniengineer:20200208041256p:plain

【出典:基本情報技術者試験 平成29年度春期午後問1(一部、加工あり)】

b:暗号化機能付きメールソフト

 Q社では機密度が”高”のファイルを扱うため、オンラインストレージサービスは使えません。

 残りの方式で、12か月分の費用を算出します。

 ・VPNとファイルサーバ:100,000+50,000×12=700,000円

 ・暗号化機能付きメールソフト:30,000円×5=150,000円

 したがって、費用が安い暗号化機能付きメールソフトになります。

c:VPNとファイルサーバ、d:700,000円

 S社でも機密度が”高”のファイルを扱うため、オンラインストレージサービスは使えません。

 同じく、残りの方式で、12か月分の費用を算出します。

 ・VPNとファイルサーバ:100,000+50,000×12=700,000円

 ・暗号化機能付きメールソフト:30,000円×25=750,000円

 したがって、費用が安いVPNとファイルサーバになります。