[テクノロジ] 問100 A社では、インターネットサービスプロバイダ（以下、ISPという）のハウジングサービスを使って、Webサーバとデータベースサーバ（以下、DBサーバという）を運用している。会員情報は、ISPのDMZ内にあるWebサーバを経由して、外部から保護されたISPのネットワーク内にあるDBサーバに蓄積される。Bさんは、会員情報をISPのWebサーバ又はDBサーバからA社内のPCに転送する，の間で個人情報漏えいの発生しないような仕組みを考えることに，転送の仕組みとして、適切なものはどれか。

エ Webサーバに会員情報が登録された時点で、自動的にFTPを使って、その情報を転送するようにする。このとき、A社のネットワークに接続する， IDとパスワードによる認証を行う。

平成24年度秋期 ITパスポート試験問100 解説ホスティングサービス

個人情報の転送において最も重要なのは、通信経路における「盗聴防止（暗号化）」と「正当な相手との通信であることの証明（認証）」です。この問題では、単なるファイルの送信手順ではなく、セキュリティ上の要件を満たしている選択肢を選ぶことが正解への近道となります。

個人情報などの機密データをネットワーク越しに送る場合、以下の2つの対策が欠かせません。

選択肢アとウのように「メール」を利用する方法は、メールサーバを経由する過程でデータが暗号化されずに転送されたり、誤送信のリスクがあったりと、機密性の高い個人情報のやり取りには不向きです。

選択肢イのFTPは、古くからあるファイル転送プロトコルですが、標準の状態では通信が暗号化されません。VPNを利用すれば通信経路全体は暗号化されますが、この選択肢には「認証」というキーワードが含まれておらず、システムのセキュリティ設計としてエに比べると不十分であると判断されます。

選択肢エが正しい理由は、通信の自動化（システム間の連携）において「認証」の手続きが明記されているためです。

ネットワーク経由でシステム同士がデータをやり取りする場合、ただファイルを送るだけではなく、送り先が正規のシステムであることを証明する必要があります。IDとパスワードによる認証を組み込むことで、許可されていない第三者が勝手にサーバへアクセスしたり、データを改ざんしたりすることを防ぐことができます。

また、実務の観点から見ると、人がメールにファイルを添付して送る方法は操作ミス（宛先間違いや添付忘れ）の可能性を排除できません。システムが自動的に、かつ認証プロセスを経て通信を行う方法は、ヒューマンエラーを減らし、管理されたセキュリティを維持する上で非常に有効な手法です。

この問題は、ITパスポート試験において「システムの運用管理」や「情報セキュリティマネジメント」の基礎を問うものです。実際のシステム開発や運用現場では、以下のような技術が標準的に用いられます。

このように、単にデータを送る仕組みを作るのではなく、どのような脅威があり、それに対してどのような対策（暗号化・認証・自動化によるミス削減）を講じるべきかを考えることが、安全な情報システムを構築する第一歩となります。