閉じる
HOME»情報セキュリティマネジメント令和7年度»科目B 問14

情報セキュリティマネジメント令和7年度 科目B 問14

問14

 A社は,従業員300名の部品メーカーである。A社ではこれまで,業務に必要なファイルを他社との間で受け渡す場合には電子メール(以下,メールという)を利用してきた。最近になって,取引先のB社から,ファイルの受渡しについては,Cサービスというクラウドストレージサービスを利用して欲しいとの要請を受けた。図1は,Cサービスを利用した場合のファイル受渡しの流れである。
  1. ファイルの送信者は,受信者に渡したいファイルをCサービス上にアップロードする。アップロードされたファイルは,Cサービス上では暗号化されて保存される。
  2. ファイルの送信者は,受信者をメールアドレスで指定して,ファイルのアクセス権を付与する。アクセス権の付与や取消しはいつでも行える。
  3. 受信者にアクセス権が付与されると,ファイルのダウンロード用URLが生成され,指定されたメールアドレスにメールで通知される。なお,URLには推測困難な文字列が含まれている。
  4. 受信者が,メールに記載されたURLにアクセスして自身のメールアドレスを入力すると,復号されたファイルがダウンロードされる。
  5. ファイルがダウンロードされると,送信者の利用者ID,アップロード日時,ファイル名,ファイルのダウンロード用URL,ダウンロードの際のアクセス元IPアドレス,4で入力したメールアドレス及びダウンロード日時がログに記録される。
  6. 送信者は,自身のアップロードしたファイルについて,ダウンロードのログを確認できる。
注記 Cサービスとの通信にはHTTPS(HTTP over TLS)が用いられている。
 そこでA社では,Cサービスを利用した場合のリスクを評価するために,検討会を開催した。検討会において,情報セキュリティリーダーのD主任は,次のとおり説明した。
 Cサービスを利用することによって,情報漏えいのリスクを低減でき,さらに情報漏えいの有無も確認できる。具体的には,ファイルの送信者は,誤ったメールアドレスを指定してメールを送信してしまった場合に,誤りに気付いた時点で,すぐにa1を行うことができる。次に,ファイルがa2されていないことがログによって確認できれば,a3していないと判断することができる。
設問 本文中の a1a3に入れる次の字句の組合せはどれか。aに関する解答群のうち,最も適切なものを選べ。
  1. アクセス権の取消し
  2. アップロード
  3. 情報漏えい
  4. ダウンロード
  5. メールで通知
  6. メールに記載されたURLに受信者はまだアクセス
  • 14_1.png/image-size:287×274

分類 :

情報セキュリティマネジメントの計画・要求事項 » 情報資産に関する要求事項

正解 :

解説 :

a1について〕
図1の2より、ファイルへのアクセス権はメールアドレス単位で指定されます。アクセス権の付与・取消しはいつでも行うことが可能であるため、誤ったメールアドレスを指定した場合には、速やかにその権限を取り消せば情報漏えいを防ぐことができます。

∴(一) アクセス権の取消し

a2について〕
図1の5より、ファイルがダウンロードされると、その詳細情報がログに記録されることがわかります。また、送信者が確認できるログについて、これ以外の説明はありません。したがって、送信者がログを参照して確認できるのは、Cサービス上からファイルがダウンロードされたかどうかという事実です。

なお、権限が取り消された場合であってもURLへのアクセスそのものは可能です。アクセスがあったかどうかはログに記録されないため、(六)は送信者が確認できる内容ではありません。

∴(四) ダウンロード

a3について〕
もしダウンロードの記録が存在しなければ、Cサービス上のファイルは誰もダウンロードしておらず、情報漏えいは発生していないと判断できます。

∴(三) 情報漏えい

以上より、a1=(一)、a2=(四)、a3=(三) となる「ウ」の組合せが適切です。

Pagetop