平成23年春 情報セキュリティスペシャリスト試験(SC) 午後Ⅱ 問1 解説

IT 情報処理安全確保支援士

問1

設問1

a ウ:MTA(Mail Transfer Agent)

メール転送のソフトウェア。(MUAがSMTP25番ポートを指定したとき)

b ア:MDA(Mail Delivery Agent)

メール配送のソフトウェア。メールボックスにメールを格納する。
※メールボックスからメールを取り出すソフトウェアは、MRA(Mail Retrieval Agent)

c エ:MUA(Mail User Agent)

メールクライアントのソフトウェア。

d イ:MSA(Mail Submission Agent)

メール転送のソフトウェア。(MUAがSMTP587番ポートを指定したとき)

 

 送信側:MUserA → MTransferA(or MSubmissonA)

 ↓ SMTP

受信側:MTransferA→MDeliveryA→MRetrievalA→MUserA

 

設問2

オープンリレー対策
外部から来た外部宛のメールを、中継しないように設定する。
迷惑メールの踏み台として利用されない運用をする。
問題文中では、4ページ表3に「許可アドレスリスト以外→社外ドメインは転送拒否」の記載あり。

 (1) 送信者メールアドレスは、送信の許可と拒否の判定には使用しないから (32/40文字)

4ページに「社内メールサーバの許可アドレスリストには、PCネットワークのIPアドレスブロックが登録されている」と記載あり。

社内メールサーバの転送許可/拒否判断は、
・転送元IPアドレス(PCネットワークのものか?)
・受信者ドメイン
の2つで判断するため、送信者メールアドレスはチェック外である。

(2)
サーバの名称:社内メールサーバ
確認した内容:SさんのPCのIPアドレスから、送信者メールアドレスがAさん用であるメールを送信したこと(44/50文字)

メールシステムのサーバ3つのいずれかが回答になるので、順に確認する。
・外部メール中継サーバ
 →メール送信先が外部とは書かれていないので、ここは経由していないかもしれない。

・MLサーバ
 →メーリングリストに送信したとは書かれていない。

・社内メールサーバ 
 →メール送信先がどこであろうと、社内メールサーバは必ず通るので、ここで確認する。

Sさん申告の「Sさんがメールを送信したが、送信者メールアドレスがAさんに置き換わって届いた」を確認するには、

・転送元IPアドレスがSさんのPCである(間違いなくSさんが送信していることを確認する)
・送信者メールアドレスがAさんになっている
が回答となる。

 

設問3

(1) プロキシサーバ

「同IPアドレスからのリクエストで、ウイルス定義ファイルのダウンロードが行われた」ことを確認する。

7ページ表6に、「PC起動時およびその後1時間ごとに、プロキシサーバ経由でウイルス定義ファイルのダウンロードを行う」旨が記載されている。

(2) 社内メールサーバのPOP3スキャンを使用する

「PCでの対策(メール受信前に手動で定義ファイル更新)以外に、メールシステムのサーバでの対策もあると助言した」内容を回答する。

5ページ図2(3)に「社内メールサーバのMRAと通信し、~省略~ MRAのメール取り出し中に、ウイルススキャン(POP3スキャン)を行うことも可能」と記載されている。

MRA(Mail Retrieval Agent)は、メールボックスからメールを取り出すソフトウェアである。

 

設問4

(1)
見直し案:社外メンバ登録MLのドメイン名として、新たなP社サブドメイン名を使用する。(37/45文字)
設定ルール案:社外メンバ登録MLのドメイン名を許可済ドメイン名に含めない。(30/35文字)

社外メンバ登録MLに送信すると、あて先確認要求されない問題を見直す。

あて先確認要求については、7ページ図4に記載がある。
PCのメールソフトにて「許可済ドメイン(表2の従業員用メールアドレス、サーバ管理用メールアドレス、MLアドレス)以外にメール送信するときは、確認メッセージを表示する」機能である。

MLアドレス宛に送信すると、PCのメールソフトでは「MLアドレスは許可済ドメイン」と判断され、あて先確認要求機能が発動しない。

あて先確認要求機能を発動させるには「許可済ドメインではないMLアドレスを使う」必要がある。
3ページ表4より、MLアドレスのドメイン名で使用されている「ml01.p-sha.co.jp」は社内メンバオンリー用としてこのまま使用とするとして、社外メンバ用に新たにサブドメインを使用する。

(2) 
①項番2:社内メールサーバに転送
②項番11:社内メールサ-バに転送

4ページ表4と10ページ表7を比較すると、表7の項番2と11が新たに追加されたものである。どちらも社内メールサーバを中継すべきである。

(3) e MLサーバ

4ページより、社内メールサーバの許可アドレスリストには、PCネットワークのIPアドレスブロックが登録されている。オープンリレー対策として、許可アドレスリスト以外のアドレス→社外ドメイン名へは転送拒否される。

MLアドレスから社外メンバへメールが送信されるようになるため、許可アドレスリストにMLサーバを含める必要がある。

(4) メールからウイルスが広まった場合、メールを連絡手段として使えなくなるから(36/40文字)

メールが使えなくなるのにメールで連絡したらだめ

(5) エンベロープの送信者メールアドレスに、MLアドレス管理者のメールアドレスを設定する。(42/50文字)

MLサーバの設定を変更するので、6ページ表5のいずれかを変更することとなる。

6ページ表5に下記記載がある。
設定項目:エンベロープの送信者メールアドレス
・同報前のメールのエンベロープの送信者メールアドレス(現在の設定はこっち)
・MLアドレス管理者のメールアドレス
 (=プロジェクト管理者の従業員用メールアドレス)

SPFは、送信元メールアドレスのドメインで使われているIPアドレスDNSに問い合わせ、送信元IPアドレスがその情報と一致するかどうかを確認する。

 

社外メンバが同報メールをMLサーバに送ったとき、同報前の社外メンバアドレス=エンベロープの送信者メールアドレスになると、再び社外にメールが送信されたときに、送信者メールアドレスのドメインと対応していないメールサーバから送信されたと判断され、迷惑メールに分類される可能性がある。
※協力会社は1社のみとは限らない!

 そのため、同報メールの送信者は必ずP社社員のドメインが指定されるようにする。

設問5

(1)
①プロジェクトごと及び利用者ごとのアクセス権限を設定する機能(29/40文字)
②PjWebサーバへの通信を暗号化する機能(20/40文字)

 PjWebサーバを利用する際の一般論。

 

(2) 
・プロジェクト終了後、削除申請されないとPjWebサーバを不正に利用されるので、プロジェクト管理者に確認を行う。(55/60文字)
・PjWebサーバのアクセスログを定期的に分析し、不正なアクセスの有無を確認する。(40/60文字)

「情報システム部が行うべき運用方法」なので、運用方法を策定した後の実施状況確認や内部監査の話は不適切。

管理策を策定するプロセスについて回答する。

6ページ図3のML管理処理に「プロジェクト終了時に、プロジェクト管理者は情報システム部にMLアドレスの削除を申請する」とあるので、これのPjWebサーバ運用版をリスクも踏まえて回答する。