難易度・正答率・重要度
- 難易度:★★★☆☆(ゼロトラストの理解)
- 正答率:★★★☆☆(定義の本質)
- 重要度:★★★★☆(クラウド/テレワーク時代の必須概念)
問題文
業務システムのクラウド化やテレワークの普及によって、企業組織の内部と外部の境界が曖昧となり、ゼロトラストと呼ばれる情報セキュリティの考え方が浸透してきている。
ゼロトラストに関する記述として、最も適切なものはどれか。
ア
組織内において情報セキュリティインシデントを引き起こす可能性のある利用者を早期に特定し教育することで、インシデント発生を未然に防ぐ。
イ
通信データを暗号化して外部の侵入を防ぐVPN機器を撤廃し、認証の強化と認可の動的管理に集中する。
ウ
利用者と機器を信頼せず、認証を強化するとともに組織が管理する機器のみを構成員に利用させる。
エ
利用者も機器もネットワーク環境も信頼せず、情報資産へのアクセス者を厳格に認証し、常に確認する。
オ
利用者を信頼しないという考え方に基づき認証を重視するが、一度許可されたアクセス権は制限しない。
出典: 中小企業診断協会|2021年度 第1次試験問題|経営情報システム(PDF)
解答
- 正解:エ
解説
- ア:×
予防的教育は有効だが、ゼロトラストは「常に検証する」技術・運用の枠組み。教育だけに依存する説明は不十分。 - イ:×
ゼロトラストはVPN撤廃を前提としない。暗号化・認証・認可の強化を包括的に行うが、VPNは移行期に併用されることもある。 - ウ:×
管理デバイス限定は一要素だが、本質は「利用者・機器・ネットワークを継続的に検証」すること。説明が限定的。 - エ:〇
利用者・機器・ネットワークを「信頼せず、常に検証」するゼロトラストの定義に合致。厳格な認証と継続的評価が中核。 - オ:×
一度許可しても継続的に権限を再評価・最小権限化・動的制御するのがゼロトラスト。「制限しない」は対立する。
学習のポイント
- ゼロトラストの核心: 常時検証(ユーザ/デバイス/ネットワーク/コンテキスト)、最小権限、動的認可、セグメンテーション。
- 誤解しやすい点: VPN撤廃が目的ではない。技術選択は移行状況やリスクに応じて最適化する。