第21問
業務システムのクラウド化やテレワークの普及によって、企業組織の内部と外部 の境界が曖昧となり、ゼロトラストと呼ばれる情報セキュリティの考え方が浸透し てきている。 ゼロトラストに関する記述として、最も適切なものはどれか。
- ア 組織内において情報セキュリティインシデントを引き起こす可能性のある利用 者を早期に特定し教育することで、インシデント発生を未然に防ぐ。
- イ 通信データを暗号化して外部の侵入を防ぐVPN 機器を撤廃し、認証の強化と 認可の動的管理に集中する。
- ウ 利用者と機器を信頼せず、認証を強化するとともに組織が管理する機器のみを 構成員に利用させる。
- エ 利用者も機器もネットワーク環境も信頼せず、情報資産へのアクセス者を厳格 に認証し、常に確認する。
- オ 利用者を信頼しないという考え方に基づき認証を重視するが、一度許可された
- クセス権は制限しない。
▼ 解答・解説を見る
正解:エ
解答:エ
ゼロトラストは「何も信頼しない(Never Trust, Always Verify)」を前提に、社内外の境界を問わず全てのアクセスを都度厳格に認証・認可する考え方。
- ア(×):危険な利用者を特定し教育するのは内部不正対策・教育の話で、ゼロトラストの定義ではない。
- イ(×):ゼロトラストはVPN撤廃を必須とするものではない(脱VPNの文脈はあるが本質ではなく、認証・認可の動的管理「に集中」とまでは言えない)。記述として不適。
- ウ(×):「組織が管理する機器のみを利用させる」という限定はゼロトラストの本質ではない。機器も信頼せず都度検証する点が欠ける。
- エ(○):利用者・機器・ネットワーク環境のいずれも信頼せず、情報資産へのアクセス者を厳格に認証し常に確認する。ゼロトラストの定義に合致する。
- オ(×):「一度許可したアクセス権は制限しない」はゼロトラストに反する。常時検証し最小権限を動的に管理するのが原則。
よって エ。