情報セキュリティマネジメント試験の令和7年度の公開問題(科目 A・B)を解こう。
今回のテーマは、「ゼロトラスト」である。
令和7年度 情報セキュリティマネジメント試験 公開問題 科目 A・B 問3
問3 ゼロトラストの説明として、最も適切なものはどれか。
ア 機器やソフトウェアの脆弱性のうち、開発元から対策方法、修正プログラムなどが提供されていない脆弱性が残っている状態のこと
イ 内部ネットワークであっても必ずしも安全ではないことを前提として対策を講じる考え方のこと
ウ 秘密情報そのものは明かさずに,自分が秘密情報を知っていることを相手に知らせる方法のこと
エ マルウェア定義ファイルを用いず,PC の振る舞いからマルウェア感染を検知する手法のこと
正解:イ
ゼロトラスト(Zero Trust)とは?
ゼロトラストとは、「何も信頼しない(Zero Trust)」ことを前提としたセキュリティの考え方である。
ネットワークの内部・外部を問わず、すべてのアクセスを信頼せず、利用者・端末・状況を継続的に検証してアクセスを許可するセキュリティモデルである。
なぜ今、ゼロトラストが必要なのか?
- 働き方の変化: オフィス外(自宅やカフェ)から業務を行うのが当たり前になった。
- クラウド利用の増加: 守るべきデータが社内サーバーではなく、外部のSaaS(Slack, Zoom, Salesforce等)に分散した。
- 巧妙化するサイバー攻撃: 一度内部に侵入されると、境界防御では防ぎきれない。
ゼロトラストの「3つの主要原則」
ゼロトラストを理解する上で欠かせない、基本的な柱がこちらである。
| 原則 | 内容 |
| 明示的な検証 | ユーザーのID、場所、デバイスの状態、サービスの種類など、利用可能なあらゆるデータを使って常に認証・認可を行う。 |
| 最小権限の原則 | ユーザーには、業務に必要な「最小限のアクセス権限」のみを、必要な時だけ付与する。 |
| 侵害を前提とする | 「すでに侵入されているかもしれない」と考え、被害を最小限に抑えるための対策(ネットワークの細分化や暗号化)を講じる。 |
ゼロトラスト導入による3つのメリット
- どこからでも安全に働ける(利便性と安全の両立) 場所を選ばず業務ができるため、テレワークの推進やハイブリッドワークに最適。
- セキュリティレベルの一元化 社内・社外という区別がなくなるため、すべての通信に対して一貫した強力なセキュリティポリシーを適用できる。
- 被害の拡大防止 万が一IDが盗まれても、アクセス権限が細かく制限されているため、機密情報が丸ごと盗まれるような事態を防ぎやすくなる。
他の肢も確認しておこう。
ア ゼロデイ脆弱性の説明である。
ウ ゼロ知識証明の説明である。
エ マルウエアの振る舞い検知の説明である。
コメント