情報セキュリティ

基本情報技術者試験ゼロトラスト」の問題

情報セキュリティ情報セキュリティ難易度:hard
B社では、社内ネットワークに接続された端末は信頼できるものとして、いったん社内網に入れば各業務システムへ追加の確認なしにアクセスできる設計になっている。標的型攻撃で1台でも社内端末が侵害されると内部を自由に動き回られる懸念がある。ゼロトラストの考え方に沿った設計変更として、最も適切なものはどれか。
社内網と社外網の境界にファイアウォールを増設し、外部からの侵入をより厳重に防ぐ。
接続元の場所に関わらず、システム利用のたびに利用者と端末を確かめ与える権限を必要分に絞る。
社内網へ入れる端末をMACアドレスで限定し、登録済みの端末だけが接続できるよう入口で制御する。
社内網の各セグメント間にVLANを敷き、部門ごとに通信を分離して到達範囲を区切る。
正解
接続元の場所に関わらず、システム利用のたびに利用者と端末を確かめ与える権限を必要分に絞る。

ゼロトラストの核心は『ネットワークの内側だから安全』という暗黙の信頼を排除することである。接続元が社内か社外かに関わらず、システムを使うたびに利用者と端末の正当性を確かめ、与える権限を必要最小限に動的に絞る。これにより、社内端末が1台侵害されても、その端末や認証情報が各システムで都度確かめられ、内部を無条件に動き回ることを防げる。

?選択肢ごとの解説

ア ×境界のファイアウォール強化は外部からの侵入防止であり、いったん内部に入った後は無条件アクセスできる問題(暗黙の信頼)を解消しない。
イ ○ゼロトラストの核心は『ネットワークの内側だから安全』という暗黙の信頼を排除することである。接続元が社内か社外かに関わらず、システムを使うたびに利用者と端末の正当性を確かめ、与える権限を必要最小限に動的に絞る。これにより、社内端末が1台侵害されても、その端末や認証情報が各システムで都度確かめられ、内部を無条件に動き回ることを防げる。
ウ ×MACアドレスによる端末限定は社内網への接続可否を制御するだけで、正規端末が侵害された場合に内部を自由に動ける問題は残り、MACは詐称も可能である。
エ ×VLANによる分離は到達範囲を粗く区切るが部門内では依然として位置ベースの信頼が残り、アクセスごとに利用者・端末を検証する都度認可には至らない。

くわしく

従来の境界型防御は『内側=信頼/外側=非信頼』を前提とするが、内部に侵入されると無力化する。ゼロトラストは『決して信頼せず、常に検証する(Never trust, always verify)』を原則とし、位置に依存しない都度の認証・認可とマイクロセグメンテーション、最小権限を組み合わせて横展開を抑止する。

本番での押さえどころ

試験のコツ

ゼロトラストのキーワードは『ネットワーク位置で信頼しない』『アクセスごとに検証』『最小権限』。境界強化や社内網限定はゼロトラストではない。

覚え方

ゼロトラスト=『社員証を見せれば顔パスで全部屋に入れる』のをやめ、『部屋ごとに毎回本人確認する』方式。

よくある誤り

ゼロトラストを『より強い境界防御』と誤解し、ファイアウォール増設や端末限定を選ぶ。ゼロトラストは境界に依存しない設計思想である点を見落とす。

情報セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0182

【基本情報技術者試験】ゼロトラストの問題 — 解答・解説|ukamiru 過去問