情報セキュリティ

基本情報技術者試験ゼロトラスト」の問題

情報セキュリティ情報セキュリティ難易度:hard
L社はテレワークと社外からのクラウド業務システム利用を進めており、社内網を経由しないアクセスが増えている。社内網に入っているか否かではなく、アクセスしてくる端末が安全な状態(OSやマルウェア対策が最新で、会社の管理下にあるか)を都度確認したうえで、クラウド業務システムへの利用可否を制御したい。この要件に最も適した仕組みはどれか。
クラウドへの通信を社内のVPNにいったん集約し、社内網を経由して届いた通信だけ利用を許す。
利用者の認証に多要素認証を必須とし、本人であることを複数の要素で確かめてから利用を許す。
会社が配布した証明書を持つ端末だけを登録し、証明書の有無で接続元の端末を識別して利用を許す。
アクセスのたびにOS更新やマルウェア対策と管理対象かを調べ、条件を満たす端末だけ利用を許す。
正解
アクセスのたびにOS更新やマルウェア対策と管理対象かを調べ、条件を満たす端末だけ利用を許す。

要件は『社内網にいるかで判断せず、アクセスしてくる端末の安全な状態を都度確認して利用可否を制御する』ことである。アクセスのたびに端末のOS更新状況・マルウェア対策の有無・会社の管理対象か(デバイスポスチャ)を調べ、条件を満たす端末だけクラウド業務システムの利用を許す仕組みは、ネットワーク位置に依存せず端末状態に基づいて動的に認可するゼロトラストの考え方そのもので、要件に直接合致する。

?選択肢ごとの解説

ア ×VPN経由・社内網通過を条件とするのは『社内網にいるか否か』で判断する境界型の発想であり、社内網を経由しないアクセスを前提とする要件と、端末状態で判断する趣旨に反する。
イ ×多要素認証は利用者本人かを強く確かめる手段だが、アクセス元端末がOS未更新やマルウェア対策無効でないかという安全状態を確認するものではなく、要件の核心を満たさない。
ウ ×証明書による端末識別は会社配布端末かの判定にはなるが、その端末が現にOS更新やマルウェア対策を満たす安全な状態かまでは都度評価しないため、要件の端末状態検証には届かない。
エ ○要件は『社内網にいるかで判断せず、アクセスしてくる端末の安全な状態を都度確認して利用可否を制御する』ことである。アクセスのたびに端末のOS更新状況・マルウェア対策の有無・会社の管理対象か(デバイスポスチャ)を調べ、条件を満たす端末だけクラウド業務システムの利用を許す仕組みは、ネットワーク位置に依存せず端末状態に基づいて動的に認可するゼロトラストの考え方そのもので、要件に直接合致する。

くわしく

ゼロトラストでは、利用者認証に加えて『端末の健全性(デバイスポスチャ)』を認可判断の要素に組み込む。OSやパッチ、マルウェア対策、管理対象か、暗号化状態などを都度評価し、満たさない端末はアクセスを制限・遮断する。社内外の境界に依存しないこの方式は、テレワークやクラウド業務に適合する。

本番での押さえどころ

試験のコツ

『社内網にいるかで判断せず、端末の安全状態を都度確認して認可』はゼロトラストのデバイスポスチャ検証。VPN集約・多要素認証・証明書識別だけでは要件不一致。

覚え方

ゼロトラストは『どこから来たか』より『健康診断に合格しているか(端末状態)』で入場可否を決める。

よくある誤り

VPN集約や端末識別・本人認証で十分と考え、『端末が安全な状態か』を都度評価するデバイスポスチャの観点を見落とす。本人確認・端末識別と健全性評価は別物である。

情報セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0192

【基本情報技術者試験】ゼロトラストの問題 — 解答・解説|ukamiru 過去問