情報セキュリティマネジメント試験 過去問解説
HTTPSとは?情報セキュリティマネジメント試験 平成28年度秋期 午前 問17を解説
情報セキュリティマネジメント試験 平成28年度秋期 午前 問17は、HTTPSに関する理解を問う問題です。検索から入っても、問題文、選択肢、正解、解説、各選択肢がなぜ違うかをこのページだけで確認できます。
問題文
次の電子メールの環境を用いて,秘密情報を含むファイルを電子メールに添付して社外の宛先の利用者に送信したい。その際のファイルの添付方法,及びその添付方法を使う理由として,適切なものはどれか。 〔電子メールの環境〕 ・電子メールは,Webブラウザから利用できる電子メールシステム(Webメール)を用いて送信する。 ・WebブラウザとWebメールのサーバとの通信はHTTP over TLS(HTTPS)で行う。 ・社外の宛先ドメインのメールサーバはSMTPとPOP3を使用している。 ・IP層以下は暗号化していない。
この問題の出題ポイント
- HTTPSの定義だけでなく、問題文中の条件がどの選択肢に当てはまるかを確認する。
選択肢
- アWebブラウザからWebメールのサーバまでの通信が暗号化されているので,ファイルは平文のままでメールに添付する。
- イWebブラウザからWebメールのサーバまでの通信は暗号化されるが,その後の通信が暗号化されないこともあるので,ファイルを暗号化してメールに添付する。正解
- ウWebブラウザから宛先の利用者がメールを受信するPCまで,全ての通信は暗号化されるので,ファイルは平文のままでメールに添付する。
- エWebメールのサーバから宛先ドメインのメールサーバまでの通信は暗号化されないが,サーバ間の通信はBase64形式でエンコードすれば盗聴できないので,ファイルはBase64形式でエンコードしてメールに添付する。
正解
イ: WebブラウザからWebメールのサーバまでの通信は暗号化されるが,その後の通信が暗号化されないこともあるので,ファイルを暗号化してメールに添付する。
解説
HTTPSで暗号化されるのはWebブラウザとWebメールサーバの区間だけで,そこから先のSMTP・POP3によるサーバ間や宛先への配送は暗号化されるとは限らず平文で流れる可能性がある。したがって経路の暗号化に頼らず,ファイル自体を暗号化して添付するのが安全であり,正解はイである。
なぜ他の選択肢が違うのか
ア
暗号化されるのはブラウザ〜Webメールサーバ間のみで,その後の配送経路は保護されないため,平文添付では盗聴の危険があり誤り。
イ(正解)
ブラウザ〜サーバ間は暗号化されてもその後の経路は暗号化されない可能性があるため,ファイル自体を暗号化して添付するのが適切であり正しい。
ウ
受信PCまで全通信が暗号化されるという前提が誤りで,サーバ間や受信経路は平文になり得るため平文添付は危険であり誤り。
エ
Base64は単なる文字符号化であり暗号ではないため,デコードすれば容易に内容を読めてしまい盗聴対策にならず誤り。
解き方の整理
HTTPSの問題では、選択肢のキーワードだけで判断せず、問題文が示す条件と正解選択肢の説明が一致しているかを見ます。誤答選択肢は、似た用語を混ぜる、主体を入れ替える、目的や範囲を広げすぎる、という形で作られることが多いため、選択肢別解説まで確認しておくと復習効率が上がります。
関連問題
前後の問題
復習を続ける
間違えた問題、苦手タグ、模試履歴を保存して復習する導線を用意しています。広告なしPro、弱点分析、復習リマインダーは段階的に提供予定です。