ITパスポート 令和3年度 問68:セキュリティに関する問題
全ての通信区間で盗聴されるおそれがある通信環境において,受信者以外に内容を知られたくないファイルを電子メールに添付して送る方法として,最も適切なものはどれか。
- aS/MIMEを利用して電子メールを暗号化する。正答
- bSSL/TLSを利用してプロバイダのメールサーバとの通信を暗号化する。
- cWPA2を利用して通信を暗号化する。
- dパスワードで保護されたファイルを電子メールに添付して送信した後,別の電子メールでパスワードを相手に知らせる。
AI解説(初心者・標準・上級)
理解度に合わせて3レベルの解説を無料で読めます。
答えは a「S/MIMEを利用してメールを暗号化する」 です。
メールは、配達される道のあちこちで“盗み見”される心配があります。全部の道で危ないなら、中身そのものに鍵をかけて送るのが一番安全。それをやってくれるのが S/MIME(メール自体を暗号化する仕組み)です。受け取る人しか開けられません。
👉 覚え方:全部の道が危ない → メールの中身ごと鍵をかける(S/MIME)。
ほかの選択肢:b 自分とメール会社の間“だけ”暗号化(途中から無防備)/c WPA2はWi-Fiの区間だけ守る/d パスワード付きファイル+別メールでパスワード送付は、同じ危ない道を通るので結局見られる恐れあり。
なぜこれが正解か
正解は a。全通信区間で盗聴の恐れがある前提では、メール本文・添付ファイル自体を暗号化し、受信者だけが復号できる方式が必要。S/MIME は公開鍵暗号でメールを暗号化(および署名)するため、経路のどこで盗聴されても内容を守れる=エンドツーエンドで安全。
各選択肢の解説
- b:SSL/TLS は自分とプロバイダのメールサーバ間だけの暗号化。そこから先の経路は保護されず不十分。
- c:WPA2 は無線LAN区間だけの暗号化で、メール経路全体は守れない。
- d:パスワード付きファイルとパスワードを同じメール経路(同じ危険な区間)で送れば、両方とも盗聴され得る(いわゆるPPAPの問題)。
覚え方・ひっかけ注意
「全区間で盗聴される」とあれば、区間暗号化(SSL/TLS・WPA2)はNG。中身そのものを暗号化するエンドツーエンド方式=S/MIME を選ぶ。dは一見対策に見えるが、別送パスワードも同じ経路なので不適。
理論的背景
S/MIME(Secure/Multipurpose Internet Mail Extensions)は、メール本体・添付ファイルをエンドツーエンドで保護する暗号化・電子署名規格だ。RFC 5750〜5752 で標準化されており、PKCS(Public Key Cryptography Standards)#7 に基づく。
S/MIME が提供する2つの機能:
| 機能 | 目的 | 使用する鍵 | 担保する特性 |
|---|---|---|---|
| 暗号化 | 内容の秘匿 | 受信者の公開鍵で暗号化・受信者の秘密鍵で復号 | 機密性 |
| 電子署名 | 送信者の本人確認・改ざん検知 | 送信者の秘密鍵で署名・受信者が公開鍵で検証 | 真正性・完全性・否認防止 |
暗号化の実装はハイブリッド方式:
1. 送信者がランダムな共通鍵(セッション鍵)を生成してメール本体を暗号化(AES 等)
2. そのセッション鍵を受信者の公開鍵(RSA 等)で暗号化して添付
3. 受信者は秘密鍵でセッション鍵を取り出し、本文を復号
この方式で「公開鍵暗号の安全性 + 共通鍵暗号の速度」を両立している。
「全通信区間で盗聴される」前提における各対策の限界
選択肢 b の SSL/TLS はブラウザ⇔Webサーバ間のエンドツーエンドを守るが、メール通信に適用した場合は「送信者の MUA とプロバイダのメールサーバ間」という区間だけを保護する。メールサーバを経由してから次のサーバへ転送される際には平文に戻る可能性があり、「全通信区間での盗聴」という前提条件を満たせない。
選択肢 d の パスワード付き ZIP + 別メールでパスワード送信(PPAP) は同一の危険な通信経路でパスワードを送るため、盗聴者が両方のメールを傍受できれば実質的に無効だ。さらに添付ファイル内のマルウェアがウイルススキャンを回避してしまうセキュリティ問題も指摘され、デジタル庁・内閣府等の政府機関が2020年にPPAPの廃止方針を公表した。
試験での位置づけ
ITパスポートのセキュリティ分野で S/MIME は「メール暗号化の標準的手法」として安定して出題される。本問の核心は「全通信区間で盗聴される前提」という条件設定で、区間暗号化(SSL/TLS・WPA2)を排除し、本文自体を暗号化するエンドツーエンド方式だけが有効という判断を求めている。PPAP 廃止の社会的動向と絡めた出題も近年増えており、「一見安全そうだが実は効果が薄い対策」として選択肢に登場する頻度が高い。基本情報技術者では S/MIME の仕組み(公開鍵暗号・証明書・PKI)、PGP との違い(CA 階層型 vs Web of Trust)、電子署名の三機能(改ざん検知・本人確認・否認防止)まで体系的に問われる。
選択肢の発展補足
選択肢 b「SSL/TLS でプロバイダのメールサーバとの通信を暗号化」 は SMTPS・IMAPS・POP3S といったメール転送の暗号化を指す。メールサーバ間の区間を暗号化するが、サーバ上では平文データが存在し得る。メール経路全体を通じてエンドツーエンドに暗号化されるわけではないため、「全区間で盗聴される」前提では不十分。
選択肢 c「WPA2 で通信を暗号化」 は無線 LAN の端末〜アクセスポイント間の区間暗号化であり、メール通信全体を保護することはできない。WPA2 はネットワーク接続の保護手段であり、メールの内容そのものを守る手段ではない。
選択肢 d の PPAP 問題は実務的に重要。廃止後の代替策として、クラウドストレージの共有リンク(Fileforce・Box・Dropbox 等)でのファイル共有や、S/MIME 暗号化メール、MFT(Managed File Transfer)ソリューションの採用が推奨されている。「なぜ PPAP が駄目か」を論理的に説明できると、セキュリティ対策の本質的理解を示すことができる。
出典:IPA(情報処理推進機構)公式 ITパスポート試験 令和3年度 問68/ 公的機関配布資料につき出典明記の上引用。解説は合格ナビによる独自AI解説です。