平成23年春 情報セキュリティスペシャリスト試験(SC) 午後Ⅱ 問1 解説
問1
設問1
a ウ:MTA(Mail Transfer Agent)
メール転送のソフトウェア。(MUAがSMTP25番ポートを指定したとき)
b ア:MDA(Mail Delivery Agent)
メール配送のソフトウェア。メールボックスにメールを格納する。
※メールボックスからメールを取り出すソフトウェアは、MRA(Mail Retrieval Agent)
c エ:MUA(Mail User Agent)
メールクライアントのソフトウェア。
d イ:MSA(Mail Submission Agent)
メール転送のソフトウェア。(MUAがSMTP587番ポートを指定したとき)
送信側:MUserA → MTransferA(or MSubmissonA)
↓ SMTP
受信側:MTransferA→MDeliveryA→MRetrievalA→MUserA
設問2
オープンリレー対策
外部から来た外部宛のメールを、中継しないように設定する。
迷惑メールの踏み台として利用されない運用をする。
問題文中では、4ページ表3に「許可アドレスリスト以外→社外ドメインは転送拒否」の記載あり。
(1) 送信者メールアドレスは、送信の許可と拒否の判定には使用しないから (32/40文字)
4ページに「社内メールサーバの許可アドレスリストには、PCネットワークのIPアドレスブロックが登録されている」と記載あり。
社内メールサーバの転送許可/拒否判断は、
・転送元IPアドレス(PCネットワークのものか?)
・受信者ドメイン
の2つで判断するため、送信者メールアドレスはチェック外である。
(2)
サーバの名称:社内メールサーバ
確認した内容:SさんのPCのIPアドレスから、送信者メールアドレスがAさん用であるメールを送信したこと(44/50文字)
メールシステムのサーバ3つのいずれかが回答になるので、順に確認する。
・外部メール中継サーバ
→メール送信先が外部とは書かれていないので、ここは経由していないかもしれない。
・MLサーバ
→メーリングリストに送信したとは書かれていない。
・社内メールサーバ
→メール送信先がどこであろうと、社内メールサーバは必ず通るので、ここで確認する。
Sさん申告の「Sさんがメールを送信したが、送信者メールアドレスがAさんに置き換わって届いた」を確認するには、
・転送元IPアドレスがSさんのPCである(間違いなくSさんが送信していることを確認する)
・送信者メールアドレスがAさんになっている
が回答となる。
設問3
(1) プロキシサーバ
「同IPアドレスからのリクエストで、ウイルス定義ファイルのダウンロードが行われた」ことを確認する。
7ページ表6に、「PC起動時およびその後1時間ごとに、プロキシサーバ経由でウイルス定義ファイルのダウンロードを行う」旨が記載されている。
(2) 社内メールサーバのPOP3スキャンを使用する
「PCでの対策(メール受信前に手動で定義ファイル更新)以外に、メールシステムのサーバでの対策もあると助言した」内容を回答する。
5ページ図2(3)に「社内メールサーバのMRAと通信し、~省略~ MRAのメール取り出し中に、ウイルススキャン(POP3スキャン)を行うことも可能」と記載されている。
MRA(Mail Retrieval Agent)は、メールボックスからメールを取り出すソフトウェアである。
設問4
(1)
見直し案:社外メンバ登録MLのドメイン名として、新たなP社サブドメイン名を使用する。(37/45文字)
設定ルール案:社外メンバ登録MLのドメイン名を許可済ドメイン名に含めない。(30/35文字)
社外メンバ登録MLに送信すると、あて先確認要求されない問題を見直す。
あて先確認要求については、7ページ図4に記載がある。
PCのメールソフトにて「許可済ドメイン(表2の従業員用メールアドレス、サーバ管理用メールアドレス、MLアドレス)以外にメール送信するときは、確認メッセージを表示する」機能である。
MLアドレス宛に送信すると、PCのメールソフトでは「MLアドレスは許可済ドメイン」と判断され、あて先確認要求機能が発動しない。
あて先確認要求機能を発動させるには「許可済ドメインではないMLアドレスを使う」必要がある。
3ページ表4より、MLアドレスのドメイン名で使用されている「ml01.p-sha.co.jp」は社内メンバオンリー用としてこのまま使用とするとして、社外メンバ用に新たにサブドメインを使用する。
(2)
①項番2:社内メールサーバに転送
②項番11:社内メールサ-バに転送
4ページ表4と10ページ表7を比較すると、表7の項番2と11が新たに追加されたものである。どちらも社内メールサーバを中継すべきである。
(3) e MLサーバ
4ページより、社内メールサーバの許可アドレスリストには、PCネットワークのIPアドレスブロックが登録されている。オープンリレー対策として、許可アドレスリスト以外のアドレス→社外ドメイン名へは転送拒否される。
MLアドレスから社外メンバへメールが送信されるようになるため、許可アドレスリストにMLサーバを含める必要がある。
(4) メールからウイルスが広まった場合、メールを連絡手段として使えなくなるから(36/40文字)
メールが使えなくなるのにメールで連絡したらだめ
(5) エンベロープの送信者メールアドレスに、MLアドレス管理者のメールアドレスを設定する。(42/50文字)
MLサーバの設定を変更するので、6ページ表5のいずれかを変更することとなる。
6ページ表5に下記記載がある。
設定項目:エンベロープの送信者メールアドレス
・同報前のメールのエンベロープの送信者メールアドレス(現在の設定はこっち)
・MLアドレス管理者のメールアドレス
(=プロジェクト管理者の従業員用メールアドレス)
SPFは、送信元メールアドレスのドメインで使われているIPアドレスをDNSに問い合わせ、送信元IPアドレスがその情報と一致するかどうかを確認する。
社外メンバが同報メールをMLサーバに送ったとき、同報前の社外メンバアドレス=エンベロープの送信者メールアドレスになると、再び社外にメールが送信されたときに、送信者メールアドレスのドメインと対応していないメールサーバから送信されたと判断され、迷惑メールに分類される可能性がある。
※協力会社は1社のみとは限らない!
そのため、同報メールの送信者は必ずP社社員のドメインが指定されるようにする。
設問5
(1)
①プロジェクトごと及び利用者ごとのアクセス権限を設定する機能(29/40文字)
②PjWebサーバへの通信を暗号化する機能(20/40文字)
PjWebサーバを利用する際の一般論。
(2)
・プロジェクト終了後、削除申請されないとPjWebサーバを不正に利用されるので、プロジェクト管理者に確認を行う。(55/60文字)
・PjWebサーバのアクセスログを定期的に分析し、不正なアクセスの有無を確認する。(40/60文字)
「情報システム部が行うべき運用方法」なので、運用方法を策定した後の実施状況確認や内部監査の話は不適切。
管理策を策定するプロセスについて回答する。
6ページ図3のML管理処理に「プロジェクト終了時に、プロジェクト管理者は情報システム部にMLアドレスの削除を申請する」とあるので、これのPjWebサーバ運用版をリスクも踏まえて回答する。