やさしいネットワークとセキュリティ

ネットワーク・セキュリティエンジニアの視点から各種テクノロジーと資格試験対策をやさしく解説します。

情報処理安全確保支援士【H31春午後Ⅱ問2設問2】

この問題のテーマは「情報セキュリティ対策の強化」

自社及び取引先を含めた情報セキュリティ対策の設計能力

設問2(1)

f:id:aolaniengineer:20191012044003p:plain

情報処理安全確保支援士試験 平成31年度 春期 午後Ⅱ問2設問2に関連する問題文その1

f:id:aolaniengineer:20191012052555p:plain

情報処理安全確保支援士試験 平成31年度 春期 午後Ⅱ問2設問2に関連する問題文その2

f:id:aolaniengineer:20191012044434p:plain

情報処理安全確保支援士試験 平成31年度 春期 午後Ⅱ問2設問2(1)

 該当箇所は、「迷惑メールの踏み台として使われないよう、(d)対策として、インターネットから転送されてきたメールのうち、宛先メールアドレスのドメイン名がA社ドメイン名のメールだけを受信する。」です。

 A社ではクラウドサービスTのメールサービスを利用していて、機能の一つであるメール転送機能について問われています。

 「迷惑メールの踏み台として使われる」とはどのような動作となることでしょうか。

 迷惑メールとはスパムメールとも呼ばれ、宣伝や嫌がらせなどの目的で不特定多数に大量に送信されるメールのことです。

 この場合、送信元が分からないように、送信元を詐称したり、第三者中継を利用したりします。

 通常、メールサーバは自ドメインに関する送信元と宛先の情報によって適切に処理されますが、運用上の都合や設定ミスなどで自ドメインとは無関係の第三者同士のメールを処理するようになっている場合があります。

 これを第三者中継またはオープンリレーといいます。

 第三者中継やオープンリレーが可能となっているメールサーバがインターネットから誰でも利用できると、迷惑メールの踏み台として利用されてしまいます。

 この対策として、自ドメイン宛のメールのみ処理するようにするということです。

 正解は以下の通りです。

 「迷惑メールの踏み台として使われないよう、オープンリレー対策として、インターネットから転送されてきたメールのうち、宛先メールアドレスのドメイン名がA社ドメイン名のメールだけを受信する。」

設問2(2)

f:id:aolaniengineer:20191012052140p:plain

情報処理安全確保支援士試験 平成31年度 春期 午後Ⅱ問2設問2(2)

 該当箇所は、「A社のネットワークからの利用だけが可能となるように、①特定のネットワークからの接続だけを許可している。」です。 

 接続を許可するネットワークアドレスが問われていますので、Webメールを利用する場合の通信を確認していきます。

 まず、同じ表2のWebメール機能に「DPCとメールサービスとの間は、HTTP over TLSを使用する」とあります。

 そして、図1をじっくり見て、該当する通信の経路を確認します。

 すると、A社内からWebメール機能があるクラウドサービスT、つまりインターネットアクセスする部分について、注記4に以下の記述があることに気付くと思います。

注記4 内部システムLAN上のサーバ及びDPCからのインターネットアクセスは、プロキシサーバ経由で行われる。

 つまり、問われている「接続を許可するネットワークアドレス」はプロキシサーバが所属するネットワークアドレスということが分かります。

 プロキシサーバが所属するDMZのネットワークアドレスは、表3から「x1.y1.z1.16/29」であることが確認できます。

 正解は以下の通りです。

x1.y1.z1.16/29」