基本情報技術者試験「ゼロトラスト」の問題
B社では、社内ネットワークに接続された端末は信頼できるものとして、いったん社内網に入れば各業務システムへ追加の確認なしにアクセスできる設計になっている。標的型攻撃で1台でも社内端末が侵害されると内部を自由に動き回られる懸念がある。ゼロトラストの考え方に沿った設計変更として、最も適切なものはどれか。
ア社内網と社外網の境界にファイアウォールを増設し、外部からの侵入をより厳重に防ぐ。
イ接続元の場所に関わらず、システム利用のたびに利用者と端末を確かめ与える権限を必要分に絞る。
ウ社内網へ入れる端末をMACアドレスで限定し、登録済みの端末だけが接続できるよう入口で制御する。
エ社内網の各セグメント間にVLANを敷き、部門ごとに通信を分離して到達範囲を区切る。
正解
イ.接続元の場所に関わらず、システム利用のたびに利用者と端末を確かめ与える権限を必要分に絞る。
ゼロトラストの核心は『ネットワークの内側だから安全』という暗黙の信頼を排除することである。接続元が社内か社外かに関わらず、システムを使うたびに利用者と端末の正当性を確かめ、与える権限を必要最小限に動的に絞る。これにより、社内端末が1台侵害されても、その端末や認証情報が各システムで都度確かめられ、内部を無条件に動き回ることを防げる。
?選択肢ごとの解説
ア ×境界のファイアウォール強化は外部からの侵入防止であり、いったん内部に入った後は無条件アクセスできる問題(暗黙の信頼)を解消しない。
イ ○ゼロトラストの核心は『ネットワークの内側だから安全』という暗黙の信頼を排除することである。接続元が社内か社外かに関わらず、システムを使うたびに利用者と端末の正当性を確かめ、与える権限を必要最小限に動的に絞る。これにより、社内端末が1台侵害されても、その端末や認証情報が各システムで都度確かめられ、内部を無条件に動き回ることを防げる。
ウ ×MACアドレスによる端末限定は社内網への接続可否を制御するだけで、正規端末が侵害された場合に内部を自由に動ける問題は残り、MACは詐称も可能である。
エ ×VLANによる分離は到達範囲を粗く区切るが部門内では依然として位置ベースの信頼が残り、アクセスごとに利用者・端末を検証する都度認可には至らない。
✎くわしく
従来の境界型防御は『内側=信頼/外側=非信頼』を前提とするが、内部に侵入されると無力化する。ゼロトラストは『決して信頼せず、常に検証する(Never trust, always verify)』を原則とし、位置に依存しない都度の認証・認可とマイクロセグメンテーション、最小権限を組み合わせて横展開を抑止する。
✓本番での押さえどころ
試験のコツ
ゼロトラストのキーワードは『ネットワーク位置で信頼しない』『アクセスごとに検証』『最小権限』。境界強化や社内網限定はゼロトラストではない。
覚え方
ゼロトラスト=『社員証を見せれば顔パスで全部屋に入れる』のをやめ、『部屋ごとに毎回本人確認する』方式。
よくある誤り
ゼロトラストを『より強い境界防御』と誤解し、ファイアウォール増設や端末限定を選ぶ。ゼロトラストは境界に依存しない設計思想である点を見落とす。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0182