テクニカルエンジニア(ネットワーク)
平成11年午後I問3
書籍販売会社のF社は、店頭での販売を行うかたわら、早くからインターネットを
利用した書籍販売に力を入れてきた。WWWサーバを自社内に設置して、顧客による
書籍の検索を可能にし、注文を受け付けている。また、顧客の問合せとその回答には、
電子メールを利用してきた。
F社はこれまでに、社員全員が電子メールを利用できるよう逐次設備を拡充してき
ている。現在では、社員の内60人は従来から利用してきた電子メールシステム(以
下、Cメールという)を利用し、残り210人はグループウェアを利用して電子メール
を送受信している。インターネット販売用システムには、Cメールが必須となってお
り、簡単にはなくすことができない。このため、Cメールを搭載したPC(以下、CP
という)とグループウェアを搭載したPC(以下、GPという)の2種類を混在使用し
ている。
現在のF社社内システム構成を図に示す。
外部からきたメールは、インターネットメールサーバにいったん格納され、ファイ
アウォールでチェック後、Cメールサーパに転送される。グループウェアユーザをあ
て先とするメールは、更にメッセージ転送サーバで変換された後、グループウェアサ
ーバに転送される。
最近、F社のインターネットメールサーバがジャンクメールの中継点に使われると
いう事件が発生した。すなわち、外部の何者かがF社のインターネットメールサーバ
を利用して、ほかのサイトに大量のメールを発信していることが発見された。これに
対し、F社は次の緊急対策を考えた。
①発見された当日の夕方から翌朝まで、とりあえずFWを停止する。
②インターネットメールサーバの設定を変更し、犯人とおぼしきIPアドレスか
らのメッセージを受け付けないようにする。
③インターネットメールサーバソフトをバージョンアップして、メールアドレス
のチェック機能を入れ、中継点になり得ないようにする。
F社は翌朝までFWを停止し、その間に②及び③の検討を行った結果、どちらの案
も実施可能であることが分かった。しかし、実際には③を実施し、②は実施しなかっ
た。
この件はこれらの対策によって沈静化した。
F社ではその後、社内でのセキュリティ意識の高まりから、コンサルティング会社
のG社の指導を受けて、社内セキュリティポリシを策定した。このセキュリティポリ
シでは、機密区分を定義して、社内情報を(ア)社外利用可(レベル1)、(イ)社内利用だ
け(レベル2)、(ウ)社内関係者だけ(レベル3)の三つのレベルに分け、それぞれの
運用方法を定めている。また、社内メールはすべて暗号化する運用を目指すものとし
た。
F社は更に、G社に対し具体的なセキュリティ改善策の提案を依頼した。
G社による改善策を次に示す。
(1) インターネットメールサーバとファイアウォールの分離
インターネットメールサーバとファイアウォールの共存は良くないと考えられま
す。サーバ機を購入して公開セグメントに置き、インターネットメールサーバをそ
ちらに移して、ファイアウォールから切り離すことをお勧めします。なぜなら、イ
ンターネットメールサーバが破られたとき、ファイアウォールも破られる可能性が
高いからです。
(2) パスワードの運用
Cメールでもグループウェアでも、個人別にパスワードが決められ、自分あての
メールには、自分しかアクセスできないようになっています。そのうちグループウ
ェアに関しては、パスワードの暗号化もなされています。しかしながら、パスワー
ドを【 a 】する運用がなされていません。これを改善するために、システ
ム管理機能の利用をお勧めします。この機能は現在利用されていませんが、グルー
プウェアがもっている機能です。具体的には、パスワードの利用可能日数の指定に
よって、利用者が同一パスワードを長期間使い続けられないようにする運用が可能
です。さらに、【 b 】パスワードは最大20個までチェックされ、これらを
再使用できなくすることが可能です。
(3) パスワードの暗号化
Cメールの現在のバージョンでは、パスワードが暗号化されておらず、また入力
されたパスワードに対して、利用可能日数のチェックが行われていません。これを
解決するためにCメールのバージョンアップをお勧めします。
(4) メールの暗号化
GPからGPへのメールは暗号化されていますが、GPとCP間、及びCPからCP
へのメールは暗号化されていません。対策としてGPとCPすべてに、共通の暗号
化ソフトを導入することが考えられます。しかしそうした場合、GPからCPにメ
ールを送る際のGPでの実際の運用では、メールの送信の前に暗号化処理を実施し、
その後で送信するという手間が発生し、暗号化ソフトが積極的には利用されないと
推測されます。現在GP間で行われているように、送る側も受ける側も意識しない
で、すべてのメールを暗号化する運用を実現することができません。そこで、共通
の暗号化ソフトを導入する方法でなく、CPにも【 c 】する方法をご検討く
ださい。
(5) 機密区分による運用
現在は機密区分を利用する運用となっていません。御社では、すでにセキュリテ
ィポリシ策定時に三つの機密区分を定義しています。グループウェアをカスタマイ
ズすることによって、メールのヘッダ情報に機密区分を設け、どのレベルか選択で
きるようにする運用が可能です。メールを作成する際に画面上のボタンをクリック
することによって、機密区分を指定できるようにします。レベル2、3の場合は、
【 d 】の発信を禁止し、レベル3の場合は、メール転送を禁止する機能の作
り込みをお勧めします。
F社はこれらの改善策を吟味した結果、次の結論を出した。
① 改善策(1)~(4)は、速やかに実施する。
② 改善策(5)については、一部変更して実施し、併せて提案外の対策も実施する。
設問1
ジャンクメールに関する次の問いに答えよ。
(1) F社が対策案②を実施しなかった理由を、20字以内で述べよ。
(2) 対策案③に“メールアドレスのチェック”とあるが、具体的には何をどのよ
うにチェックするのかを、40字以内で述べよ。
(3) ジャンクメールの中継点にされても、F社内のファイルが漏えいするわけで
も、壊されるわけでもない。困る理由は何かを、40字以内で述べよ。
設問2
本文中の【 a 】~【 d 】に入れる適切な字句を、それぞれ10字
以内で答えよ。
設問3
改善策(4)では、メール自体の暗号化について述べている。ファイアウォールに
よって守られているのに、暗号化する理由を、20字以内で述べよ。
設問4
改善策(5)では、“機密区分を指定できるようにする”ことを提案しているが、
一部変更し、提案外の対策を併せて実施することになった。これはF社内で、利
用者が指定しなければ意味がないし、また指定しても間違っていれば効果は上が
らないなどの意見があったからである。改善策(5)に関する次の問いに答えよ。
(1) 改善策(5)をどのように変更すればよいかを、20字以内で述べよ。
(2) 社内システムの変更に加えて、F社が実施すべき“提案外の対策”を、40
字以内で述べよ。
sponsored link
このページ
のTOPへ
