情報セキュリティマネジメント試験 令和7年度 公開問題(過去問) 問14 について解説します。
問題
問14 A 社は、従業員 300 名の部品メーカーである。A 社ではこれまで、業務に必要なファイルを他社との間で受け渡す場合には電子メール(以下、メールという)を利用してきた。最近になって、取引先の B 社から、ファイルの受渡しについては、C サービスというクラウドストレージサービスを利用して欲しいとの要請を受けた。図1 は、C サービスを利用した場合のファイル受渡しの流れである。
そこで A 社では、C サービスを利用した場合のリスクを評価するために、検討会を開催した。検討会において、情報セキュリティリーダーの D 主任は、次のとおり説明した。
C サービスを利用することによって、情報漏えいのリスクを低減でき、さらに情報漏えいの有無も確認できる。具体的には、ファイルの送信者は、誤ったメールアドレスを指定してメールを送信してしまった場合に、誤りに気付いた時点で、すぐに [ a1 ] を行うことができる。次に、ファイルが [ a2 ] されていないことがログによって確認できれば、 [ a3 ] していないと判断することができる。
設問 本文中の [ a1 ] ~ [ a3 ] に入れる次の字句の組合せはどれか。 a に関する解答群のうち、最も適切なものを選べ。
(一)アクセス権の取消し
(二)アップロード
(三)情報漏えい
(四)ダウンロード
(五)メールで通知
(六)メールに記載された URL に受信者はまだアクセス
解説・解答
a1 に入れる字句
誤ったメールアドレスを指定してメールを送信してしまった場合に、誤りに気付いた時点ですぐに行うべきことは何かを考えます。図1の 2 では「ファイルの送信者は、受信者をメールアドレスで指定して、ファイルのアクセス権を付与する。アクセス権の付与や取消しはいつでも行える。」とあります。そのため、この場合は誤って指定した相手(受信者)のファイルへのアクセス権を取消すべきです。したがって、 a1 には (一)アクセス権の取消し が入ります。
a2 に入れる字句
本文では「ファイルが [ a2 ] されていないことがログによって確認できれば・・・」とあるので、ログに記録されるのは何かを考えます。図1の 5 では「ファイルがダウンロードされると、送信者の利用者ID、アップロード日時、ファイル名、ファイルのダウンロード用URL、ダウンロードの際のアクセス元IPアドレス、4 で入力したメールアドレス及びダウンロード日時がログに記録される。」とあります。そのため、ログにはファイルのダウンロードが行われた時の情報が記録されます。誤送信に気付いた後に確認したいのは、間違って送った相手によりファイルがダウンロードされてしまったかどうかであり、それをログで確認します。したがって、 a2 には (四)ダウンロード が入ります。
a3 に入れる字句
本文に [ a2 ] を入れると「ファイルがダウンロードされていないことがログによって確認できれば、 [ a3 ] していないと判断することができる。」となります。この文の少し前に「Cサービスを利用することによって、情報漏えいのリスクを低減でき、さらに情報漏えいの有無も確認できる。」とあります。そのため、「ファイルがダウンロードされていないことがログによって確認できれば」の後に「情報漏えいしていないと判断できる」と続くのが適切です。したがって、 a3 には (三)情報漏えい が入ります。
以上により、a1 = (一)、a2 = (四)、a3 = (三) が適切な組合せとなり、この問題の解答は「ウ」になります。
