平成11年ネットワークスペシャリスト午後1問3

問3
 電子メールのセキュリティに関する次の記述を読んで,設問1〜4に答えよ。

 書籍販売会社のF社は,店頭での販売を行うかたわら,早くからインターネットを利用した書籍販売に力を入れてきた。WWWサーバを自社内に設置して,顧客による書籍の検索を可能にし,注文を受け付けている。また,顧客の問合せとその回答には,電子メールを利用してきた。
 F社はこれまでに,社員全員が電子メールを利用できるよう逐次設備を拡充してきている。現在では,社員の内60人は従来から利用してきた電子メールシステム(以下,Cメールという)を利用し,残り210人はグループウェアを利用して電子メールを送受信している。インターネット販売用システムには,Cメールが必須となっており,簡単にはなくすことができない。このため,Cメールを搭載したPC(以下,CPという)とグループウェアを搭載したPC(以下,GPという)め2種類を混在使用している。
 現在のF社社内システム構成を図に示す。
 

 外部からきたメールは,インターネットメールサーバにいったん格納され,ファイアウォールでチェック後,Cメールサーバに転送される。グループウェアユーザをあて先とするメールは,更にメッセージ転送サーバで変換された後,グループウェアサーバに転送される。
 最近,F社のインターネットメールサーバがジャンクメールの中継点に使われるという事件が発生した。すなわち,外部の何者かがF社のインターネットメールサーバを利用して,ほかのサイトに大量のメールを発信していることが発見された。これに対し,F社は次の緊急対策を考えた。

 
発見された当日の夕方から翌朝まで,とりあえずFWを停止する。
インターネツトメールサーバの設定を変更し,犯人とおぼしきIPアドレスからのメッセージを受け付けないようにする。
インターネットメールサーバソフトをバージョンアップして,メールアドレスのチェック機能を入れ,中継点になり得ないようにする。
 F社は翌朝までFWを停止し,その間に及びの検討を行った結果,どちらの案も実施可能であることが分かった。しかし,実際にはを実施し,は実施しなかった。
 この件はこれらの対策によって沈静化した。
 F社ではその後,社内でのセキュリティ意識の高まりから,コンサルティング会社のG社の指導を受けて,社内セキュリティポリシを策定した。このセキュリティポリシでは,機密区分を定義して,社内情報を(ア)社外利用可(レベル1),(イ)社内利用だけ(レベル2),(ウ)社内関係者だけ(レベル3)の三つのレベルに分け,それぞれの運用方法を定めている。また,社内メールはすべて暗号化する運用を目指すものとした。
 F社は更に,G社に対し具体的なセキュリティ改善策の提案を依頼した。

 G社による改善策を次に示す。
 
(1) インターネットメールサーバとファイアウォールの分離
 インターネットメールサーバとファイアウォールの共存は良くないと考えられます。サーバ機を購入して公開セグメントに置き,インターネットメールサーバをそちらに移して,ファイアウォールから切り離すことをお勧めします。なぜなら,インターネットメールサーバが破られたとき,ファイアウォールも破られる可能性が高いからです。
(2) パスワードの運用
 Cメールでもグループウェアでも,個人別にパスワードが決められ,自分あてのメールには,自分しかアクセスできないようになっています。そのうちグループウェアに関しては,パスワードの暗号化もなされています。しかしながら,パスワードを【  a  】する運用がなされていません。これを改善するために,システム管理機能の利用をお勧めします。この機能は現在利用されていませんが,グループウェアがもっている機能です。具体的には,パスワードの利用可能日数の指定によって,利用者が同一パスワードを長期間使い続けられないようにする運用が可能です。さらに,【  b  】パスワードは最大20個までチェックされ,これらを再使用できなくすることが可能です。
(3) パスワードの暗号化
 Cメールの現在のバージョンでは,パスワードが暗号化されておらず,また入力されたパスワードに対して,利用可能日数のチェックが行われていません。これを解決するためにCメールのバージョンアップをお勧めします。
(4) メールの暗号化
 GPからGPへのメールは暗号化されていますが,GPとCP間,及びCPからCPへのメールは暗号化されていません。対策としてGPとCPすべてに,共通の暗号化ソフトを導入することが考えられます。しかしそうした場合,GPからCPにメールを送る際のGPでの実際の運用では,メールの送信の前に暗号化処理を実施し,その後で送信するという手間が発生し,暗号化ソフトが積極的には利用されないと推測されます。現在GP間で行われているように,送る側も受ける側も意識しないで,すべてのメールを暗号化する運用を実現することができません。そこで,共通の暗号化ソフトを導入する方法でなく,CPにも【  c  】する方法をご検討ください。
(5) 機密区分による運用
 現在は機密区分を利用する運用となっていません。御社では,すでにセキュリティポリシ策定時に三つの機密区分を定義しています。グループウェアをカスタマイズすることによって,メールのヘッダ情報に機密区分を設け,どのレベルか選択できるようにする運用が可能です。メールを作成する際に画面上のボタンをクリックすることによって,機密区分を指定できるようにします。レベル2,3の場合は,【  d  】の発信を禁止し,レベル3の場合は,メール転送を禁止する機能の作り込みをお勧めします。F社はこれらの改善策を吟味した結果,次の結論を出した。
改善策(1)〜(4)は,速やかに実施する。
改善策(5)については,一部変更して実施し,併せて提案外の対策も実施する。

設問1
 ジャンクメールに関する次の問いに答えよ。
 
(1) F社が対策案を実施しなかった理由を,20字以内で述べよ。
(2) 対策案に“メールアドレスのチェック”とあるが,具体的には何をどのようにチェックするのかを,40字以内で述べよ。
(3) ジャンクメールの中継点にされても,F社内のファイルが漏えいするわけでも,壊されるわけでもない。困る理由は何かを,40字以内で述べよ。

設問2
 本文中の【  a  】【  d  】に入れる適切な字句を,それぞれ10字以内で答えよ。

設問3
 改善策(4)では,メール自体の暗号化について述べている。ファイアウォールによって守られているのに,暗号化する理由を,20字以内で述べよ。

設問4
 改善策(5)では,“機密区分を指定できるようにする”ことを提案しているが,一部変更し,提案外の対策を併せて実施することになった。これはF社内で,利用者が指定しなければ意味がないし,また指定しても間違っていれば効果は上がらないなどの意見があったからである。改善策(5)に関する次の問いに答えよ。
 
(1) 改善策(5)をどのように変更すればよいかを,20字以内で述べよ。
(2) 社内システムの変更に加えて,F社が実施すべき“提案外の対策”を,40字以内で述べよ。