情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 平成28年度秋期 午前 問17: 次の電子メールの環境を用いて，秘密情報を含むファイルを電子メールに添付して社外の宛先の利用者に送信したい。その際のファイルの添付方法，及びその添付方法を使う理由

問題本文

次の電子メールの環境を用いて，秘密情報を含むファイルを電子メールに添付して社外の宛先の利用者に送信したい。その際のファイルの添付方法，及びその添付方法を使う理由として，適切なものはどれか。 〔電子メールの環境〕 ・電子メールは，Webブラウザから利用できる電子メールシステム（Webメール）を用いて送信する。 ・WebブラウザとWebメールのサーバとの通信はHTTP over TLS（HTTPS）で行う。 ・社外の宛先ドメインのメールサーバはSMTPとPOP3を使用している。 ・IP層以下は暗号化していない。

選択肢

• ア.WebブラウザからWebメールのサーバまでの通信が暗号化されているので，ファイルは平文のままでメールに添付する。
• イ.WebブラウザからWebメールのサーバまでの通信は暗号化されるが，その後の通信が暗号化されないこともあるので，ファイルを暗号化してメールに添付する。
• ウ.Webブラウザから宛先の利用者がメールを受信するPCまで，全ての通信は暗号化されるので，ファイルは平文のままでメールに添付する。
• エ.Webメールのサーバから宛先ドメインのメールサーバまでの通信は暗号化されないが，サーバ間の通信はBase64形式でエンコードすれば盗聴できないので，ファイルはBase64形式でエンコードしてメールに添付する。

正解

イ. WebブラウザからWebメールのサーバまでの通信は暗号化されるが，その後の通信が暗号化されないこともあるので，ファイルを暗号化してメールに添付する。

解説

HTTPSで暗号化されるのはWebブラウザとWebメールサーバの区間だけで，そこから先のSMTP・POP3によるサーバ間や宛先への配送は暗号化されるとは限らず平文で流れる可能性がある。したがって経路の暗号化に頼らず，ファイル自体を暗号化して添付するのが安全であり，正解はイである。

選択肢ごとの解説

• ア.暗号化されるのはブラウザ〜Webメールサーバ間のみで，その後の配送経路は保護されないため，平文添付では盗聴の危険があり誤り。
• イ.ブラウザ〜サーバ間は暗号化されてもその後の経路は暗号化されない可能性があるため，ファイル自体を暗号化して添付するのが適切であり正しい。
• ウ.受信PCまで全通信が暗号化されるという前提が誤りで，サーバ間や受信経路は平文になり得るため平文添付は危険であり誤り。
• エ.Base64は単なる文字符号化であり暗号ではないため，デコードすれば容易に内容を読めてしまい盗聴対策にならず誤り。