type
status
date
slug
summary
tags
category
icon
password
书籍
電子メールのセキュリティ対策に関する次の記述を読んで,設問に答えよ。
K社は,IT製品の卸売会社であり,300社の販売店に製品を卸している。K社では,8年前に従業員が,ある販売店向けの奨励金額が記載されたプロモーション企画書ファイルを添付した電子メール(以下,メールという)を,担当する全販売店の担当者宛てに誤送信するというセキュリティ事故が発生した。この事故を機に,メールの添付ファイルを,使い捨てのパスワード(以下,DPWという)によって復元可能なZIPファイルに変換する添付ファイル圧縮サーバを導入した。
添付ファイル圧縮サーバ導入後のメール送信手順を図1に示す。
中文提示
K公司之前发生过邮件误发的事故,所以后来加了安全措施:发邮件时,附件会自动变成需要一次性密码才能打开的压缩文件,以防信息泄露。这个方法术语叫做PPAP
〔現在のメール運用の問題点と対策〕
K社では,添付ファイル圧縮サーバを利用して,最初にDPWで復元可能なZIPファイルを添付したメール(以下,本文メールという)を送信し,その後,ZIPファイルを復元するためのDPWを記載したメール(以下,PWメールという)を送信することによって,メールのセキュリティを確保する方式(以下,この方式をPPAPという)を運用している。
しかし,現在運用しているPPAPは,政府のある機関において中止するという方針が公表され,K社の販売店や同業者の中でもPPAPの運用を止める動きが見られるようになった。
このような状況から,K社の情報セキュリティ委員会は,自社のPPAPの運用上の問題点を検証することが必要であると判断して,情報セキュリティリーダーのL主任に,PPAPの運用上の問題点の洗い出しと,その改善策の検討を指示した。
中文提示
K公司目前使用一种叫“PPAP”的做法来保护邮件附件的安全:先发一个加密的ZIP文件邮件,再单独发一封写有密码的邮件。但因为政府某机构已经宣布不再使用这种方式,其他公司也在陆续放弃,所以K公司开始重新审视这种方式的问题,并要求安全负责人研究改进方案。
L主任は,現在のPPAPの運用状況を調査して,次の二つの問題点を洗い出した。
(1)①本文メールの宛先を確認せずに,本文メールと同じ宛先に対してPWメールを送信している従業員が多い。
設問1
〔現在のメール運用の問題点と対策〕 について答えよ。
(1)本文中の下線①によって発生するおそれのある,情報漏えいにつながる問題を,40字以内で答えよ。
解答
本文メールを誤送信すると,DPWも誤送信した相手に届いてしまう
(2)ほとんどの従業員が,PWメールを本文メールと同じメールシステムを使用して送信している。したがって,本文メールが通信経路上で何らかの手段によって盗聴された場合,PWメールも盗聴されるおそれがある。
問題点の(1)及び(2)は,ともに情報漏えいにつながるリスクがある。(1)の問題点を改善しても,(2)の問題点が残ることから,②L主任は(2)の問題点の改善策を考えた。しかし,運用面の改善によってリスクは低減できるが,時間とともに情報漏えいに対する意識が薄れると,改善策が実施されなくなるおそれがある。そこで,L主任は,より高度なセキュリティ対策を実施して,情報漏えいリスクを更に低減させる必要があると考え,安全なメールの送受信方式を調査した。
中文提示
PPAP方式有两个会导致信息泄露的风险点。即使改进了第一个问题,第二个问题依然存在。负责人L意识到,仅靠操作流程上的改进不够,因为员工时间一久就可能松懈,所以必须引入更高级的安全技术来更有效地防止信息泄露,于是他开始调查更安全的邮件收发方式。
(2)本文中の下線②について,盗聴による情報漏えいリスクを低減させる運用上の改善策を,30字以内で答えよ。
解答
DPWを,電話や携帯メールなど異なった手段で伝える
〔安全なメール送受信方式の検討〕
L主任は,調査に当たって安全なメール送受信方式のための要件として,次の(ⅰ)~(ⅲ)を設定した。
- メールの本文及び添付ファイル(以下,メール内容という)を暗号化できること
- メール内容は,送信端末と受信端末との間の全ての区間で暗号化されていること
- 誤送信されたメールの受信者には,メール内容の復号が困難なこと
これら三つの要件を満たす技術について調査した結果,S/MIME(Secure/Multipurpose Internet Mail Extensions)が該当することが分かった。S/MIMEは,K社や販売店で使用しているPCのメールソフトウェア(以下,メーラという)が対応しており導入しやすいとL主任は考えた。
〔S/MIMEの調査〕
まず,L主任はS/MIMEについて調査した。調査によって分かった内容を次に示す。
(1)S/MIMEは,メールに電子署名を付加したり,メール内容を暗号化したりすることによってメールの安全性を高める標準規格の一つである。
(2)メールに電子署名を付加することによって,メーラによる電子署名の検証で,送信者を騙ったなりすましやが検知できる。公開鍵暗号と共通鍵暗号とを利用してメール内容を暗号化することによって,通信経路での盗聴や誤送信による情報漏えいリスクを低減できる。
③メール内容の改ざん
(3)S/MIMEを使用して電子署名や暗号化を行うために,認証局(以下,CAという)が発行した電子証明書を取得してインストールするなどの事前作業が必要となる。
メールへの電子署名の付加及びメール内容の検証の手順を表1に,メール内容の暗号化と復号の手順を表2に示す。
中文提示
为了寻找比PPAP更安全的邮件收发方式,L主任设定了三个要求:1)邮件正文和附件能被加密,2)在整个传输过程中始终保持加密,3)即使误发给别人,对方也难以解密内容。调查后发现“S/MIME”技术符合这些要求,它是一种利用电子签名和加密技术来确保邮件安全的标准,K公司和合作商正在用的邮件软件也支持它,因此容易引入。
具体补充说明如下:
- S/MIME 能防止 篡改(改ざん) 和 冒充(なりすまし),通过加电子签名来验证发信人身份;
- 加密采用 公开密钥+对称密钥结合,能防止数据在传输过程中被窃听;
- 但使用前必须取得并安装 由认证机构(CA)签发的电子证书。
設問2
〔S/MIMEの調査〕 について答えよ。
(1)本文中の下線③が検知される手順はどれか。表1,2中の手順の番号で答えよ。
解答
1.6
(2)表1,2中のa~dに入れる適切な字句を解答群の中から選び,記号で答えよ。
a,b,c,d に関する解答群
ア CAの公開鍵
イ CAの秘密鍵
ウ 受信者の公開鍵
エ 受信者の秘密鍵
オ 送信者の公開鍵
カ 送信者の秘密鍵
解答
a:カ
b:オ
c:ウ
d:エ
(3)表2中の下線④について,メール内容の暗号化に公開鍵暗号ではなく共通鍵暗号を利用する理由を,20字以内で答えよ。
解答
暗号化と復号の処理速度が速いから
〔S/MIME導入に当たっての実施事項の検討]〕
次に,L主任は,S/MIME導入に当たって実施すべき事項について検討した。
メーラは,⑤受信したメールに添付されている電子証明書の正当性について検証する。問題を検出すると,エラーが発生したと警告されるので,エラー発生時の対応方法をまとめておく必要がある。そのほかに,受信者自身で電子証明書の内容を確認することも,なりすましを発見するのに有効であるので,受信者自身に実施を求める事項もあわせて整理する。
中文提示
在考虑引入 S/MIME 时,L 主任思考了需要落实的事项。比如:收件人的邮件软件会自动检查邮件中附带的电子证书是否有效;如果发现异常,就会发出错误警告,因此需要事先制定好错误应对流程。另外,让收件人亲自确认证书内容,也有助于发现冒名发送的邮件,所以这也应作为一项收件人需执行的安全措施。
一句话总结就是:
引入 S/MIME 时,不仅要依赖系统自动检查电子证书,还要制定错误处理对策,并要求收件人手动确认证书,以防冒名邮件。
設問3
本文中の下線⑤について,電子証明書の正当性の検証に必要となる鍵の種類を解答群の中から選び,記号で答えよ。
解答群
ア CAの公開鍵
イ 受信者の公開鍵
ウ 送信者の公開鍵
解答
ア
メール内容の暗号化を行う場合は,事前に通信相手との間で電子証明書を交換しておかなければならない。そこで,S/MIME導入に当たって,S/MIMEの適切な運用のために従業員向けのS/MIMEの利用手引きを作成して,利用方法を周知することにする。
これらの検討結果を基に,L主任はS/MIMEの導入,導入に当たって実施すべき事項,導入までの間はPPAPの運用上の改善策を実施することなどを提案書にまとめ,情報セキュリティ委員会に提出した。提案内容が承認されS/MIMEの導入が決定した。
中文提示
L 主任提出用 S/MIME 替代 PPAP,并制定员工使用指南,最终提案获得批准,决定正式引入 S/MIME。
- 作者:みなみ
- 链接:https://www.minami.ac.cn//%E5%BF%9C%E7%94%A8%E6%83%85%E5%A0%B1%E9%81%8E%E5%8E%BB%E5%95%8F%20%E4%B8%AD%E6%96%87%E6%8C%87%E5%AF%BC/1e7d7ae8-88e2-8096-ad5c-f3b1b46afc62
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
相关文章
