情報セキュリティマネジメント 平成28年秋期 午前問17

午前問17

次の電子メールの環境を用いて,秘密情報を含むファイルを電子メールに添付して社外の宛先の利用者に送信したい。その際のファイルの添付方法,及びその添付方法を使う理由として,適切なものはどれか。

〔電子メールの環境〕
  • 電子メールは,Webブラウザから利用できる電子メールシステム(Webメール)を用いて送信する。
  • WebブラウザとWebメールのサーバとの通信はHTTP over TLS(HTTPS)で行う。
  • 社外の宛先ドメインのメールサーバはSMTPとPOP3を使用している。
  • IP層以下は暗号化していない。
  • WebブラウザからWebメールのサーバまでの通信が暗号化されているので,ファイルは平文のままでメールに添付する。
  • WebブラウザからWebメールのサーバまでの通信は暗号化されるが,その後の通信が暗号化されないこともあるので,ファイルを暗号化してメールに添付する。
  • Webブラウザから宛先の利用者がメールを受信するPCまで,全ての通信は暗号化されるので,ファイルは平文のままでメールに添付する。
  • Webメールのサーバから宛先ドメインのメールサーバまでの通信は暗号化されないが,サーバ間の通信はBase64形式でエンコードすれば盗聴できないので,ファイルはBase64形式でエンコードしてメールに添付する。

分類

テクノロジ系 » セキュリティ » セキュリティ実装技術

正解

解説

設問のネットワーク環境を表したのが次の図です。
17.gif/image-size:423×66
HTTPSは、HTTP通信を暗号化するプロトコルです。HTTP通信が行われるのはWebブラウザからWebメールのサーバまでの間なので、電子メールの暗号化が保証される範囲もこの区間に留まります。Webメールのサーバから相手のメールサーバへの送信にはSMTP、相手のメールサーバからのメール受信にはPOPが使用されていますが、この2つのプロトコルには暗号化の機能がなくデータを平文でやり取りします。このためSMTP区間及びPOP区間で通信を盗聴された場合には秘密情報の漏えいに繋がります。
  • Webメールのサーバより後の通信経路上において情報漏えいの恐れがあるためファイルを暗号すべきです。
  • 正しい。盗聴の可能性を考慮してファイルを暗号化すべきです。
  • 暗号化が保証されているのはWebブラウザとWebメールのサーバの間です。
  • Base64は電子メールのデータを規則に従って64種の英数字の組合せ(64進数)に変換する方式で、暗号化の技術ではありません。元のデータに戻すことは容易であるため、盗聴されると情報漏えいに繋がります。
© 2015-2019 情報セキュリティマネジメント試験ドットコム All Rights Reserved.

Pagetop