答えはなぜ「ア」なのでしょうか、自分は答えは「エ」だと思ったのですが、問題文に「・PDF ファイルを従業員ごとに異なる鍵で暗号化して，電子メールに添付する。」
という記述があるから間違っているのでしょうか？


https://www.ipa.go.jp/shiken/mondai-kaiotu/sg_fe/koukai/t6hhco0000003zx0-att/2023r05_fe_kamoku_b_qs.pdf

私の解釈なので間違っているかもしれませんが、

まず問題として「情報セキュリティリスク」に対してどのような対策がという事からセキュリティリスク評価で項目として上がっている事を起点に考えます。

ウエが答えであるならば社内ネットワークへの侵入を示唆するセキュリティリスクの項目があると考えます。
※侵入出来ていなければ盗聴は難しいと考えるため。

次にイですが
こちらはセキュリティリスクの項目に関係なく、従業員のメール設定による事案のため無視して良い気がしています。

最後にアですが
セキュリティリスクで「複合機は初期状態で運用され、初期状態は外部のものが容易に知れる事がリスクであるかも」と言っています。
その上で
電子メールは一般的に外部からのメールを受け取れる可能性が高いので、攻撃者が初期設定の件名（タイトル）で釣り上げるのは今回のリスク内容に合致していると思います。

https://www.fe-siken.com/s/bbs/4986.html

こちらのスレッドに私なりの意見を書いているのでよければ参考にしてください。

一応簡潔に返答します。
解答の根拠は

>・PDF ファイルを従業員ごとに異なる鍵で暗号化して，電子メールに添付する。

ではないと思います。電子メールが暗号化されているとは書いていないので盗聴された場合はメールの本文は平文で見られてURLにアクセスされてしまうのではないかと思います。

あとエが解答だとしても複合機の諸々の設定を初期状態から変更しても対策にならないように思います。エの対策方法は盗聴されないように暗号化するようにしたり、鍵の強度を強めたりではないでしょうか。

特別な技術を使った手法ではなく、人間の心理のスキをついたソーシャルエンジニアリング攻撃の対策としては適切かと思います。

エ）
電子メールは暗号化されていないので、
> 攻撃者が、複合機から送信される電子メールを盗聴
することは可能。よって、
> （攻撃者が）本文に記載されているURLを使ってBサーバにアクセス
することも可能。しかし、
> Bサーバにアクセスする際は、従業員ごとの利用者IDとパスワードが必要
なので、
複合機のスキャン機能を使用してB業務だけに従事する専任の従業員
の利用者IDとパスワードを攻撃者が知り得ないかぎり、
採用予定者の個人情報の漏えいは発生しないと言える。

ア）
> 複合機のスキャン機能の初期設定情報はベンダーのWebサイトで
> 公開されており、誰でも閲覧できる。
ので、あたかも複合機が差出人であるかのような詐欺メールを
攻撃者がB業務専任の従業員に宛てて送信することは可能。
> 本文中にあるURLをクリックし、フィッシングサイトに誘導
されたB業務専任の従業員が、それが本物のBサーバだとだまされて
自分の利用者IDとパスワードを入力してしまったら、
攻撃者はその利用者IDとパスワードを使って本物のBサーバにアクセスできるので、
採用予定者の個人情報の漏えいが発生するリスクは高いと言える。

なるほど、皆さんご回答ありがとうございました、確かに言われてみればそうだなと感じ助かりました。

>jjon-comさん
の説明を読ませていただきましたが疑問が出てきました。

>電子メールは暗号化されていないので、
とありますが、本文では電子メールの暗号化については記述されていない（電子メールを暗号化しているともしていないとも言っていない）のに「暗号化されていない」と断定してもいいのでしょうか。

>複合機のスキャン機能を使用してB業務だけに従事する専任の従業員の利用者IDとパスワードを攻撃者が知り得ないかぎり、
利用者IDとパスワードってスキャン機能を使用する際に複合機のパネルに入力するものですよね。（委託先C社の従業員）
それと自社の社内ネットワーク上に設置したBサーバのアクセスに使用する利用者認証とは同じものなのでしょうか。
BサーバとはA社のサーバ？  それとも委託先のC社のサーバ？
細かい所ですが気になってしまいました。

> 複合機の初期設定はC社の情報システム部だけが変更可能である。
という記述から、複合機はC社の所有物だろうと読み取れますし、

> 委託先候補のC社は（略）次のようにA社に提案した。
> 自社の社内ネットワーク上に設置したサーバ（以下、Bサーバ）に自動的に保存し、
> 図2 複合機のスキャン機能（抜粋）
という記述から、「自社」とは複合機が置かれたC社だろうと読み取れます。

> 従業員ごとに付与した利用者IDとパスワード
> 従業員ごとの利用者IDとパスワード
という同じ表現を用いていますから、複合機のパネルに入力する文字列も、Bサーバにアクセスする際に必要な文字列も、同じだと読み取れます。
過去問題を解いてきた経験から、両者が異なるものであるなら、問題作成者はそれを示すような日本語表現をしているはずだという思いが私にはあります。

断定したわけではなく、暗号化している／していない、どちらとも問題文に書いていないのであれば、セキュリティ対策がされた「暗号化している」方向で問題文を読むことはできない。脆弱性のある「暗号化していない」方向で意図的に解釈したということです。

jjon-comさん、
返信いただきありがとうございます。
Bサーバは元々A社のもので、B業務だけをC社に委託したものだと勘違いしておりました。
勝手な思い込みで想像してしまいました。

>委託先候補のC社は，B業務について，次のようにA社に提案した。
と書いてある通り、複合機、BサーバはC社の所有物でした。
「自社の社内ネットワーク」の"自社"は、C社が提案したのですから当然C社ですよね。
冒頭のこともあり、"自社"とはA社だと思い込んでいました。

利用者IDとパスワードについて、
>注1）Bサーバにアクセスする際は，従業員ごとの利用者IDとパスワードが必要になる。
しっかり書いてありましたね。
見落としてしまいました。
仰る通り従業員ごとに付与した利用者IDとパスワードで、複合機のパネルに入力したりBサーバにアクセスしたりするものだと解釈できました。

電子メールの暗号化については、意図的に解釈されたことを納得いたしました。
的確にご指摘いただきありがとうございました。
冒頭の思い込みもあり、もっと本文をしっかり読まないといけないですね。
コードブロックや文字色変更など、いつもわかりやすい解説ありがとうございます。


usaさん、
解決済みなのに便乗してしまい失礼いたしました。
お騒がせいたしました。
スレッドを使わせていただきありがとうございました。

>B業務だけをC社に委託したものだと勘違い
PDFファイルに変換はわかりますが、ファイルサーバに格納の部分がどの社のサーバなのかしっかり把握できていませんでした。

（これは質問者に対する回答ではありません）

No.8では最終的にそういう読解になるかな，という結果を書いていますけれど，
問題に挑戦している最中は私も「勝手な思い込みで想像」を繰り返しています。

この問題の場合だと…

「採用予定者から郵送されてくる書類？  一般的にその宛先はA社だろうけれど，人事業務の委託だと言っている。宛先はA社じゃなかったりする？」

「採用選考の応募者から郵送されてくる大量の書類を想定するなら，A社だけでなくX社Y社Z社など多数の顧客企業と契約して，書類の郵送先をすべてC社にして書類の電子化を一括して請け負うアウトソーシング事業者はいるだろう。それを想定してる？」

「でも，応募者ではなく，採用予定者だよね。誓約書や源泉徴収票なんて応募時には提出しないので。採用予定者はおそらく少数だろうけど，大して手間もかからないそんな業務を委託するの？」

…という連想が次々と浮かんできました。

この掲示板で，私は何度か
「問題文にこう書いてある」という引用形式での回答を用いていますけれど，
あれは右往左往しながら問題文を2度3度，
読み返していたら見つけたというものの方が多くて，
出題者が提示した要点箇所を一度目の読解で見つけられることは少ないです。

以上。
momochanさんの No.9 を読ませていただいて，
「まさか，問題文にざっと目を通して，ヒントとなる文言を
  数分間で見つけているなんて思い違いはしていないよね…」
と心配になったので，日ごろあまり書かない裏の事情？ を書いてみました。

jjon-comさん
裏事情ありがとうございます！
jjon-comさんの解説は十分に吟味されての投稿だといつも安心して読んでおります。

問題文を数回読んではいたのですが読解力不足と勝手な想像や読み飛ばしなどもプラスして、曖昧に感じていた所が出てきてしまいましたが、jjon-comさんの的確なご指摘によりスッキリいたしました。
今回の私の問題の曖昧さが設問の不正解には繋がりませんでしたが、注意深く読むことの大切さを痛感いたしました。