平成29年春期試験午後問題 問1
問1 情報セキュリティ
ファイルの安全な受渡しに関する次の記述を読んで,設問1~3に答えよ。
情報システム会社のX社では,プロジェクトを遂行する際,協力会社との間で機密情報を含むファイルの受渡しを手渡しで行っていた。X社は,効率化のために,次期プロジェクトからは,インターネットを経由してファイルを受け渡すことにした。
X社で働くAさんは,ファイルを受け渡す方式について検討するように,情報セキュリティリーダーであるEさんから指示された。Aさんは,ファイルを圧縮し,圧縮したファイルを共通鍵暗号方式で暗号化した上で電子メール(以下,メールという)に添付して送信し,別のメールで復号用の鍵を送付する方式をEさんに提案した。しかし,Eさんから"①Aさんの方式は安全とはいえない"との指摘を受けた。
Aさんは,暗号化について再検討し,圧縮したファイルを公開鍵暗号方式で暗号化してメールに添付する方式をEさんに提案したところ,"その方式で問題はないが,相手のaを入手する際には,それが相手のものであると確認できる方法で入手する必要がある点に注意するように"と言われた。
情報システム会社のX社では,プロジェクトを遂行する際,協力会社との間で機密情報を含むファイルの受渡しを手渡しで行っていた。X社は,効率化のために,次期プロジェクトからは,インターネットを経由してファイルを受け渡すことにした。
X社で働くAさんは,ファイルを受け渡す方式について検討するように,情報セキュリティリーダーであるEさんから指示された。Aさんは,ファイルを圧縮し,圧縮したファイルを共通鍵暗号方式で暗号化した上で電子メール(以下,メールという)に添付して送信し,別のメールで復号用の鍵を送付する方式をEさんに提案した。しかし,Eさんから"①Aさんの方式は安全とはいえない"との指摘を受けた。
Aさんは,暗号化について再検討し,圧縮したファイルを公開鍵暗号方式で暗号化してメールに添付する方式をEさんに提案したところ,"その方式で問題はないが,相手のaを入手する際には,それが相手のものであると確認できる方法で入手する必要がある点に注意するように"と言われた。
広告
設問1
本文中の下線①でEさんから指摘を受けた理由として,最も適切な答えを,解答群の中から選べ。
解答群
- 圧縮してから暗号化する方式は,暗号化してから圧縮する方式よりも解読が容易である。
- 圧縮ファイルを暗号化してもファイル名は暗号化されない。
- 共通鍵暗号方式は,他の暗号方式よりも解読が容易である。
- ファイルを添付したメールと,鍵を送付するメールの両方が盗聴される可能性がある。
解答選択欄
- エ
解説
- どちらの手順でも暗号化の強度は同じです。
- 設定によりファイル名も含めて暗号化できます。たとえファイル名が暗号化されていなくても、データが暗号化されていれば秘匿性の問題はありません。
- 暗号の強度は使用するアルゴリズムによります。共通鍵・公開鍵のどちらであるかは関係ありません。
- 正しい。両方のメールが盗聴されるとファイルが復号されてしまいます。添付ファイルとそれを復号する鍵(パスワード)を別々のメールで送る手順がしばしば見られますが、情報漏えいの危険性を下げるだけで根本的な対策にはなっていません。
広告
設問2
本文中の に入れる適切な答えを,解答群の中から選べ。
a に関する解答群
- 共通鍵
- 公開鍵
- デジタル署名
- パスワード
- 秘密鍵
解答選択欄
- a:
- a=イ
解説
公開鍵暗号方式による暗号化通信では、送信者が受信者の公開鍵で暗号化し、受信者は自身の秘密鍵でデータを復号します。aでは公開鍵暗号通信で使用する相手の鍵が問われているので公開鍵が入ります。誤って偽装された公開鍵を使用してしまうと第三者に盗聴されてしまう可能性があるため、入手した公開鍵の真正性に留意しなくてはなりません。広告
設問3
次の記述中の に入れる正しい答えを,解答群の中から選べ。
次期プロジェクトでは,協力会社であるP社,Q社,R社及びS社と協業する。プロジェクトの期間は12か月である。Aさんは,各協力会社との間でファイルを受け渡す方式について,Eさんから次のように指示されたので,更に検討を進めることにした。
〔ファイルを受け渡す方式に関するEさんからの指示〕
〔ファイルを受け渡す方式の候補〕
次期プロジェクトでは,協力会社であるP社,Q社,R社及びS社と協業する。プロジェクトの期間は12か月である。Aさんは,各協力会社との間でファイルを受け渡す方式について,Eさんから次のように指示されたので,更に検討を進めることにした。
〔ファイルを受け渡す方式に関するEさんからの指示〕
- メールを使用する方式以外も検討すること。
- ファイルを受け渡す方式は,協力会社ごとに異なっていてもよい。
- 協力会社間ではファイルを受け渡さない。
- ある協力会社との間で,ファイルを受け渡すためにアカウントを登録する必要があるシステムを使う場合,その会社からプロジェクトに参加する社員全員のアカウントを登録すること。
- 受け渡すファイルの機密度に合った方式を選択すること。機密度には"低"と"高"の2種類がある。X社のセキュリティポリシーでは,機密度が"高"のファイルを,オンラインストレージサービスを利用して受け渡すことを禁止している。
- 費用(初期費用とプロジェクト期間中の運用費用の合計)が最も安い方式を選択すること。
〔ファイルを受け渡す方式の候補〕
- VPNとファイルサーバ
X社の拠点と協力会社の拠点との間でVPN環境を構築し,ファイルを受け渡すためのファイルサーバをX社に設置する。協力会社ごとに,異なるVPN環境の構築と異なるファイルサーバの設置を行う。この方式では,一つの協力会社につき,初期費用としてVPN環境の構築とファイルサーバの設置に100,000円,運用費用としてファイルサーバの運用及びVPN利用に,合わせて月額50,000円が掛かる。初期費用,運用費用ともに利用者数の多寡による影響はない。 - オンラインストレージサービス
インターネット上で提供されているオンラインストレージサービスを利用してファイルを受け渡す。このサービスは,利用者にHTTP over TLSでのアクセスを提供しており,ファイルを安全に受け渡せる。この方式では,初期費用は掛からないが,運用費用として利用者1人当たり月額500円が掛かる。X社では,全社員がこのサービスを利用することにしたので,X社の社員についての運用費用はこのプロジェクトの費用には含めない。 - 暗号化機能付きメールソフト
公開鍵暗号方式を使った暗号化機能付きメールソフトを導入し,メールにファイルを添付して受け渡す。この方式を安全に運用するためには,導入時にプロジェクトの参加者全員に対して,メールソフトの利用方法などに関する研修が必要である。この方式では,初期費用として,メールソフトの導入及び研修に,利用者1人当たり30,000円が掛かるが,運用費用は掛からない。X社では,全社員がこのメールソフトを利用することにしたので,X社の社員についての初期費用はこのプロジェクトの費用には含めない。
b,c に関する解答群
- VPNとファイルサーバ
- オンラインストレージサービス
- 暗号化機能付きメールソフト
d に関する解答群
- 30,000
- 60,000
- 150,000
- 300,000
- 700,000
- 750,000
- 1,500,000
解答選択欄
- b:
- c:
- d:
- b=ウ
- c=ア
- d=オ
解説
Q社とS社では機密度が"高"のファイルを扱います。(5)に記載されているように、X社のセキュリティポリシーでは機密度が"高"のファイルをオンラインストレージサービスで受け渡すことを禁止しています。このためオンラインストレージサービスは選択対象から除外されます。さらに費用が最も安い方式を選択するという指示に従い、Q社とS社でVPN方式およびメールソフト方式を選択したときのプロジェクト期間中(12カ月)の費用を比較し、選択される方式を決定します。[Q社]
・VPN方式
100,000+50,000×12=700,000(円)
・メールソフト方式
30,000×5=150,000(円)
[S社]
・VPN方式
100,000+50,000×12=700,000(円)
・メールソフト方式
30,000×25=750,000(円)
したがってQ社にはメールソフト方式が、S社にはVPN方式がよりよい選択です。
∴b=ウ:暗号化機能付きメールソフト
c=ア:VPNとファイルサーバ
d=オ:700,000
広告
広告