【登録セキスペ2問】メール送信(情報処理安全確保支援士試験)
このNoteでは、SC10回分から「メール送信」のセキュリティ問題を搔き集めました。
SMTPのセキュリティ考慮点は認証と暗号化です。
認証:SMTP-AUTH, POP3 before SMTP
暗号化:S/MIME, PGP, SMTPS(SMTP over SSL/TLS)
数は多いですが、わりとパッと覚えられますよ。出題パータンも各1問ずつでしたし。
私は情報安全確保支援士(登録セキスペ)の午後II97点で独学合格しました。IP, FE, AP, NW, DB, ESも全て独学。
このNoteは、独学経験とIT専門学校で教えた実績を基に作成しています。私の対策授業もこんな感じ。
それでは始めましょう!
\私がお世話になったテキスト/
\私の3ヶ月の学習履歴/
認証の追加
メールプロトコルの基本は大丈夫だ、という前提で話を進めますね。>メールプロトコルの解説Note
SMTPには認証機能(利用者ID、パスワード)がありません。
そこで以下のような手段で認証を行います。
SMTP-AUTH:認証機能追加(しかも暗号化)
POP3 before SMTP:POP3に認証成功したらSMTP通信をする
SMTP-AUTOでは認証情報は暗号化で通信されるので安全です、しかしメール送信はSMTPなので平文です。
POP3 before SMTPについて。メールを受信するPOP3には認証機能があります。
よってサーバはPOP3で認証成功した利用者にだけSMTP送信を許可することで、SMTPに認証機能を対以下したようになります。こちらもSMTPなので平文です。
SMTP-AUTHの特徴はどれか。
ア:ISP管理下のネットワークから、管理外ネットワークのメールサーバへのSMTP通信を禁止する。
イ:メールの送信元メールサーバについて、送信元ドメインのDNSサーバに当該メールサーバが登録されているのを確認する。
ウ:メールクライアントがメールを送信する時に、メールサーバからの利用者IDとパスワードによる利用者認証に成功してから送信できる。
エ:メールクライアントがメールを送信する時に、メールサーバにPOPによる利用者認証をしてから送信できる。
令和04年秋AMII問14より改変
正答はウ。
ア:OP25B
イ:SPFやSender ID
ウ:正しい。
エ:POP before SMTP
特にSPF・SenderIDは、メール受信のセキュリティ強化なので、ガッツリ万で下さい。DomainKeysとDKIMも。
暗号化の追加
次は暗号化の仕様
S/MIME:MIMEを拡張した暗号化仕様
PGP:専用ソフトウェアが必要
SMTPS (SMTP over SSL/TLS):送信者から送信メールサーバの間のみ。
S/MIMEは、メールに添付ファイルを付けられるMIME仕様のセキュリティ拡張版。暗号化したメールを添付ファイルのように送るのです。
PGPは送信側も受信側も専用ソフトウェアの導入が必要。
SMTPSは、送信メールから受信メールサーバまではSMTPになってしまう可能性が高いです。インターネットを平文で流れることに。
STARTTLSコマンドによって、サーバ間の暗号化ができます(相手が対応していれば)。STARTTLSは出題実績は未だないですが、上原本にも各サイト様にも載っているので、そのうち出ますね。
令和06年春AMII問16より改変
正答はア。
PGPとS/MIMEは、メール1通1通「データ」を暗号化します。対して、SMTP over TLS(SMTPS)は、クライアントとサーバ間・サーバとサーバ間の「通信」を暗号化します。
SMTPSではサーバが公開鍵を用意します。PGPとS/MIMEは利用者ごと(メールアドレス毎)に用意します。
ちょっと難しめでしたが、不正解のままでも構いません。ただし各プロトコルの内容は覚えておいてください。
まとめ
お疲れ様でした!
認証:SMTP-AUTH, POP3 before SMTP
暗号化:S/MIME, PGP, SMTPS(SMTP over SSL/TLS)
暗号化については、経路のどの部分なのかは把握しましょう。また導入の設定やデメリットもですね。
これぐらい学べれば今回は充分な成果ですね。でわでわ。
ぜひ「情報セキュリティスペシャリスト」に合格してくださいね。
\私がお世話になったテキストのレビュー/
\私の3ヶ月の学習履歴/
p.s. 普段は >> 専門学校とIT就職のブログ << をやってます。
でわでわ(・ω・▼)ノシ
いいなと思ったら応援しよう!
