問題本文
[中問D 個人情報取扱い・テクノロジ] A社では,インターネットサービスプロバイダ(以下,ISPという)のハウジングサービスを使って,Webサーバとデータベースサーバ(以下,DBサーバという)を運用している。会員情報は,ISPのDMZ内にあるWebサーバを経由して,外部から保護されたISPのネットワーク内にあるDBサーバに蓄積される。Bさんは,会員情報をISPのWebサーバ又はDBサーバからA社内のPCに転送する必要があり,その間で個人情報の漏えいが発生しないような仕組みを考えることになった。転送の仕組みとして,適切なものはどれか。
選択肢
- ア.DBサーバに蓄えられた会員情報のファイルを定期的にCSV形式のテキストファイルとして出力し,メールの本文にテキストファイルの内容を記録し,ウイルスチェックを行ってから自分宛に送信する。
- イ.VPNによってISPとA社をつなぎ,DBサーバに蓄えられた会員情報のファイルを定期的にFTPを使って転送する。
- ウ.Webサーバに会員情報が登録された時点で,自分宛にその情報をメールの本文に記載して自動的に送信するようにし,メールを受け取った時にウイルスチェックを行う。
- エ.Webサーバに会員情報が登録された時点で,自動的にFTPを使って,その情報を転送するようにする。このとき,A社のネットワークに接続する時点で,IDとパスワードによる認証を行う。
正解
イ. VPNによってISPとA社をつなぎ,DBサーバに蓄えられた会員情報のファイルを定期的にFTPを使って転送する。
解説
正解はイ.ISPのハウジングサービスでWebサーバとDBサーバを設置している場合,会員情報をA社内のPCに安全に転送するにはVPN(Virtual Private Network)で通信経路全体を暗号化トンネル化し,その上でFTP転送するのが適切.VPNにより外部からの盗聴・改ざんを防ぎつつ社内ネットワーク同等のセキュリティを確保できる.平文FTP(エ)・メール本文記載(ア・ウ)・ウイルスチェックのみではセキュリティが不十分.経路全体の暗号化の必要性を理解する設問で,VPN+FTP組合せが安全な転送方法の標準形.
選択肢ごとの解説
- ア.CSV形式のテキストファイルをメール本文に記録して送信する方法は,メール経路が暗号化されていなければ通信途中で盗聴される危険があり,会員情報のような個人情報の安全な転送方法としては不十分.経路暗号化が必要.用語の定義を取り違えやすい紛らわしい選択肢.
- イ.正解.VPN(Virtual Private Network)でISPとA社の間を暗号化トンネルでつなぎ,その経路上でFTPを使って会員情報を定期的に転送する方法は,通信経路全体が暗号化されているため安全.個人情報転送の標準的安全策.用語の定義と典型的な使われ方を押さえる.
- ウ.Webサーバに会員情報が登録された時点で自動的にメール本文に記載して自分宛に送信する方法は,メール経路が暗号化されていなければ盗聴される.ウイルスチェックは別の対策で,個人情報漏洩防止としては不十分な仕組み.対象や目的が設問の条件と異なるため不適切.
- エ.ID・パスワード認証のみでFTP転送する方法は,認証は通っても通信経路が平文FTPでは暗号化されていないため,通信途中で会員情報が盗聴される危険がある.認証と暗号化は別の対策で,両方必要となる安全な転送.別概念であり設問の答えにはならない選択肢.
ITパスポート 2012年 (平成24年 秋期) の過去問一覧へ戻る・問100