HOME»応用情報技術者試験掲示板»平成24年秋期  午後問9  設問4  (2)
投稿する

平成24年秋期  午後問9  設問4  (2) [1218]

 今さら聞けないさん(No.1) 
平成24年秋期  午後問9
https://www.ap-siken.com/kakomon/24_aki/pm09.html
設問4(2)の解答は、「c:メールの宛先,メール本文及び添付ファイルの妥当性」ですが、[添付ファイル]がなぜ含まれるでしょうか?

「そこで,添付ファイル付き社外宛てメールの誤送信のリスク低減策として,暗号化パスワードが記入されたメールの宛先を送信者自身に変更する。さらに,そのメールを受け取った送信者は,( c )を再確認し,…」

[暗号化パスワードが記入されたメールの宛先を送信者自身に変更する]となっているので、図2の流れ図だと以下のようになると解釈しました。
  ファイルが添付されているか→Yes
  ↓暗号化パスワードをワンタイムパスワードとして生成
  ↓添付ファイルを暗号化してメール送信
      ※ここまでの処理は終了しているはず
  ↓暗号化パスワードを記入したメールを同じ宛先に送信
      ※設問より、[同じ宛先]ではなく[送信者自身]に変更される
ということは、前の処理「添付ファイルを暗号化してメール送信」で「添付ファイル」は送信済みと思われます。次の「暗号化パスワードが記入されたメール」に再度「添付ファイル」を付けるでしょうか?
2018.08.15 15:00
助け人さん(No.2) 
AP ゴールドマイスター
「[添付ファイル]がなぜ含まれるでしょうか?」というご質問は、以下の2通りに解釈できます。

1つ目・・・添付ファイルの妥当性は再確認不要ではないか?
2つ目・・・送信者自身に送信されたメールに添付ファイルがないのに、添付ファイルの妥当性は再確認できないのではないか?

おそらく2つ目だと推測します。図1の後の、〔M部長からの指示〕の直前に、
「送信したメールは,送信者の手元に残り,送信後も参照可能である」
とありますので、それを基に添付ファイルの妥当性も再確認します。
2018.08.15 16:45
通りすがりさん(No.3) 
上司チェックをすり抜けた場合に、もう一度自分で確認することが目的なので、添付ファイルが正しいことも確認対象だと思います。
送信者の自己確認なので勘違いは防ぐことは難しいですが、例えば複数の会社に似たようなファイルを送付している場合に「やっべ、そっちじゃねえ」といううっかりミスは防ぐことは可能でしょう。
この時点で気が付ければ、復号用パスワードは相手に渡っていないため、添付ファイルの漏洩は未然に防げます(パスワードを解読される危険性はまた別問題)。
今さら聞けないさんの認識のとおり、送信先には暗号化済添付ファイル付のメールは届いていますので、メールの再確認後に送信者が行う作業は、パスワードを送信先に通知することです。添付ファイルの再送は行いません(設問4 d)。
※慣れると形骸化しそうな気はしますが
2018.08.15 17:28
 今さら聞けないさん(No.4) 
> 助け人さん
返信ありがとうございます。そのとおり2つ目です。
「送信者自身に送信されたメールに添付ファイルがないのに、添付ファイルの妥当性は再確認できないのではないか?」
手元に残ったメールで、添付ファイルの妥当性が確認できることは理解しました。

本文の「さらに,そのメールを受け取った送信者は,( c )を再確認し」を、受け取った「暗号化パスワードが記入されたメール」の宛先やメール本文を再確認するのかなと解釈していましたが、再確認する事項はすべて手元に残ったメールだったのですね。
了解しました。
2018.08.15 18:26
 今さら聞けないさん(No.5) 
通りすがりさんもありがとうございました。(別人ですよね)
2018.08.15 18:30
助け人さん(No.6) 
AP ゴールドマイスター
追記します。

メールシステムによって生成された暗号化パスワードが記入されたメールが、一旦メール送信者のもとに送付されてきますが、このとき、どのような情報が付属しているかは問題文からわかりません。もしかしたら、先ほど送信したメールの宛先、表題、本文、添付ファイル名などがあり、それを基に再確認できるかもしれません。しかし、問題文の「送信したメールは,送信者の手元に残り,送信後も参照可能である」という記述が、このときに再確認できる根拠であると思います。

また、ついでですが、設問4(3)の解答「メールやそれ以外の手段で宛先に暗号化パスワードを連絡」は、今では正解にならず、「メール以外の手段で宛先に暗号化パスワードを連絡」が正解です。メールが盗聴されることを考えると、メールでパスワードを連絡するなど、問題外です。このことは、安全確保支援士試験では当たり前の知識であり、実務上も常識(といっても便宜上メールで送ることもあったりする)ですが、応用情報技術者試験でもこのことを知っておいた方がいいです。
2018.08.15 18:59
助け人さん(No.7) 
AP ゴールドマイスター
この投稿は投稿者により削除されました。(2018.08.15 19:13)
2018.08.15 19:13
助け人さん(No.8) 
AP ゴールドマイスター
No.6の後半部についてさらに追記します。

平成29年秋期 午後問1
https://www.ap-siken.com/kakomon/29_aki/pm01.html
の問題文には、以下の記述があります。

加工個人情報は,CSV形式のファイルを暗号化して,電子メール(以下,メールという)に添付して有資格者に送付している。暗号化したファイルを復号するためのパスワードは別メールで送付することになっている。

これを受けて、設問2(1)で次の空欄dを問うています。
・パスワードを別メールで送付する運用だと,dに対して効果がない。
dの解答は、「イ:盗聴」です。
解説にも以下の通りあります。

もしメールに暗号化したファイルを添付するならば復号のためのパスワードは別の通信手段を利用して相手に伝えることが重要です。秘密情報とパスワードを同じ経路で送付する運用では誤送信や盗聴による被害に脆弱です。
2018.08.15 19:21
 今さら聞けないさん(No.9) 
> メールシステムによって生成された暗号化パスワードが記入されたメールが、
> 一旦メール送信者のもとに送付されてきますが、このとき、
> どのような情報が付属しているかは問題文からわかりません。

確かに全くそのとおりですね。だからこそ「送信したメールは,送信者の手元に残り,送信後も参照可能である」という記述を根拠にするというのもそのとおりだと思いました。参考になりました。
設問4(3)についても、現状はそのように解釈できそうですね。
2018.08.15 21:45

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの書込みはできません。
© 2010-2024 応用情報技術者試験ドットコム All Rights Reserved.

Pagetop