基本情報技術者試験「ゼロトラスト」の問題
L社はテレワークと社外からのクラウド業務システム利用を進めており、社内網を経由しないアクセスが増えている。社内網に入っているか否かではなく、アクセスしてくる端末が安全な状態(OSやマルウェア対策が最新で、会社の管理下にあるか)を都度確認したうえで、クラウド業務システムへの利用可否を制御したい。この要件に最も適した仕組みはどれか。
アクラウドへの通信を社内のVPNにいったん集約し、社内網を経由して届いた通信だけ利用を許す。
イ利用者の認証に多要素認証を必須とし、本人であることを複数の要素で確かめてから利用を許す。
ウ会社が配布した証明書を持つ端末だけを登録し、証明書の有無で接続元の端末を識別して利用を許す。
エアクセスのたびにOS更新やマルウェア対策と管理対象かを調べ、条件を満たす端末だけ利用を許す。
正解
エ.アクセスのたびにOS更新やマルウェア対策と管理対象かを調べ、条件を満たす端末だけ利用を許す。
要件は『社内網にいるかで判断せず、アクセスしてくる端末の安全な状態を都度確認して利用可否を制御する』ことである。アクセスのたびに端末のOS更新状況・マルウェア対策の有無・会社の管理対象か(デバイスポスチャ)を調べ、条件を満たす端末だけクラウド業務システムの利用を許す仕組みは、ネットワーク位置に依存せず端末状態に基づいて動的に認可するゼロトラストの考え方そのもので、要件に直接合致する。
?選択肢ごとの解説
ア ×VPN経由・社内網通過を条件とするのは『社内網にいるか否か』で判断する境界型の発想であり、社内網を経由しないアクセスを前提とする要件と、端末状態で判断する趣旨に反する。
イ ×多要素認証は利用者本人かを強く確かめる手段だが、アクセス元端末がOS未更新やマルウェア対策無効でないかという安全状態を確認するものではなく、要件の核心を満たさない。
ウ ×証明書による端末識別は会社配布端末かの判定にはなるが、その端末が現にOS更新やマルウェア対策を満たす安全な状態かまでは都度評価しないため、要件の端末状態検証には届かない。
エ ○要件は『社内網にいるかで判断せず、アクセスしてくる端末の安全な状態を都度確認して利用可否を制御する』ことである。アクセスのたびに端末のOS更新状況・マルウェア対策の有無・会社の管理対象か(デバイスポスチャ)を調べ、条件を満たす端末だけクラウド業務システムの利用を許す仕組みは、ネットワーク位置に依存せず端末状態に基づいて動的に認可するゼロトラストの考え方そのもので、要件に直接合致する。
✎くわしく
ゼロトラストでは、利用者認証に加えて『端末の健全性(デバイスポスチャ)』を認可判断の要素に組み込む。OSやパッチ、マルウェア対策、管理対象か、暗号化状態などを都度評価し、満たさない端末はアクセスを制限・遮断する。社内外の境界に依存しないこの方式は、テレワークやクラウド業務に適合する。
✓本番での押さえどころ
試験のコツ
『社内網にいるかで判断せず、端末の安全状態を都度確認して認可』はゼロトラストのデバイスポスチャ検証。VPN集約・多要素認証・証明書識別だけでは要件不一致。
覚え方
ゼロトラストは『どこから来たか』より『健康診断に合格しているか(端末状態)』で入場可否を決める。
よくある誤り
VPN集約や端末識別・本人認証で十分と考え、『端末が安全な状態か』を都度評価するデバイスポスチャの観点を見落とす。本人確認・端末識別と健全性評価は別物である。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0192