情報処理技術者試験、情報処理安全確保支援士試験の午後問題を通じて、情報セキュリティの知識を体系的に蓄積していきましょう。

　キーワードに加え、設計やインシデント対応能力をシミュレーションできる良い学びの場ですので、試験合格はもちろん、情報処理安全確保支援士となった後も能力向上のために学習できるいい機会です。

　今回は、「メールサービスにおけるオープンリレー対策と接続元制限機能」を取り上げた「情報処理安全確保支援士試験 平成31年度 春期 午後2問2設問2」です。

　問題文中、設問に該当する部分ですぐに解答を説明しています。

　ストーリーとして何度も読みこなすと、自然に記憶に定着してくると思います。

情報処理安全確保支援士試験 平成31年度 春期 午後2 問2 設問2

問2　情報瀬セキュリティ対策の強化に関する次の記述を読んで、設問1〜7に答えよ。

（略）

【A社のネットワーク構成】

　A社では、デスクトップPC（以下、DPCという）を、全ての従業員に貸与している。DPCの社外への持出しは、禁止されている。

　A社は、クラウドサービスTを利用している。クラウドサービスTの機能とA社での利用方法の概要を表2に示す。

d：オープンリレー

　A社ではクラウドサービスTのメールサービスを利用していて、機能の一つであるメール転送機能について問われています。

　「迷惑メールの踏み台として使われる」とはどのような動作となることでしょうか。

　迷惑メールとはスパムメールとも呼ばれ、宣伝や嫌がらせなどの目的で不特定多数に大量に送信されるメールのことです。

　この場合、送信元が分からないように、送信元を詐称したり、第三者中継を利用したりします。

　通常、メールサーバは自ドメインに関する送信元と宛先の情報によって適切に処理されますが、運用上の都合や設定ミスなどで自ドメインとは無関係の第三者同士のメールを処理するようになっている場合があります。

　これを第三者中継またはオープンリレーといいます。

　第三者中継やオープンリレーが可能となっているメールサーバがインターネットから誰でも利用できると、迷惑メールの踏み台として利用されてしまいます。

　この対策として、自ドメイン宛のメールのみ処理するようにするということです。 

　A社のネットワーク構成を図1に、A社のネットワーク一覧を表3に示す。

【出典：情報処理安全確保支援士試験 平成31年度 春期 午後2問2（一部、加工あり）】

①について、接続を許可するネットワークアドレスを答えよ。：x1.y1.z1.16/29

　接続を許可するネットワークアドレスが問われていますので、Webメールを利用する場合の通信を確認していきます。

　まず、同じ表2のWebメール機能に「DPCとメールサービスとの間は、HTTP over TLSを使用する」とあります。

　そして、図1から、該当する通信の経路を確認します。

　すると、A社内からWebメール機能があるクラウドサービスT、つまりインターネットアクセスする部分について、注記4に以下の記述があることに気付くと思います。

「注記4　内部システムLAN上のサーバ及びDPCからのインターネットアクセスは、プロキシサーバ経由で行われる。」

　つまり、問われている「接続を許可するネットワークアドレス」はプロキシサーバが所属するネットワークアドレスということが分かります。

　プロキシサーバが所属するDMZのネットワークアドレスは、表3から「x1.y1.z1.16/29」であることが確認できます。