令和7年度 CBT 情報セキュリティマネジメント 科目A 問14

A社は,従業員 300 名の部品メーカーである。A社ではこれまで、業務に必要なファイルを他社との間で受け渡す場合には電子メール(以下,メールという)を利用してきた。最近になって,取引先のB社から,ファイルの受渡しについては,C サービスというクラウドストレージサービスを利用して欲しいとの要請を受けた。図1は,Cサービスを利用した場合のファイル受渡しの流れである。

1 ファイルの送信者は,受信者に渡したいファイルを C サービス上にアップロードする。アップロードされたファイルは,Cサービス上では暗号化されて保存される。

2 ファイルの送信者は,受信者をメールアドレスで指定して,ファイルのアクセス権を付与する。アクセス権の付与や取消しはいつでも行える。

3 受信者にアクセス権が付与されると,ファイルのダウンロード用 URL が生成され,指定されたメールアドレスにメールで通知される。なお, URL には推測困難な文字列が含まれている。

4 受信者が、メールに記載されたURLにアクセスして自身のメールアドレスを入力すると,復号されたファイルがダウンロードされる。

5 ファイルがダウンロードされると、送信者の利用者 ID, アップロード日時,ファイル名,ファイルのダウンロード用 URL, ダウンロードの際のアクセス元IP アドレス,4で入力したメールアドレス及びダウンロード日時がログに記録される。

6 送信者は,自身のアップロードしたファイルについて、ダウンロードのログを確認できる。

注記 Cサービスとの通信には HTTPS (HTTP over TLS)が用いられている。

図1 ファイル受渡しの流れ

そこでA社では,C サービスを利用した場合のリスクを評価するために、検討会を

開催した。検討会において、情報セキュリティリーダーのD主任は,次のとおり説明

した。

C サービスを利用することによって,情報漏えいのリスクを低減でき,さらに情報

漏えいの有無も確認できる。具体的には,ファイルの送信者は,誤ったメールアドレ

スを指定してメールを送信してしまった場合に,誤りに気付いた時点で,すぐに

a1 を行うことができる。次に,ファイルが

a2 されていないこと

がログによって確認できれば, a3 していないと判断することができる。

設問 本文中の a1

a3 に入れる次の字句の組合せはどれか。aに

関する解答群のうち、最も適切なものを選べ。

(一) アクセス権の取消し

(二) アップロード

(三) 情報漏えい

(四) ダウンロード

(五) メールで通知

(六) メールに記載された URL に受信者はまだアクセス