ゼロトラストアーキテクチャ(ZTA)|情報処理安全確保支援士 シラバス準拠予想問題Ⅰ 問11

ゼロトラストアーキテクチャの考え方として,最も適切なものはどれか。
  • ア:社内ネットワークと社外ネットワークの境界にファイアウォールなどを配置し,社内からの通信を信頼できるものとして扱う。
  • イ:管理対象サーバへの直接接続を禁止し,踏み台サーバを経由させることで,管理者の操作経路を集約して監査しやすくする。
  • ウ:ネットワークの内外を信頼の根拠とせず,利用者,端末,アプリケーション,通信状況などを検証し,アクセスごとに認可を行う。
  • エ:パスワードに加えて,ワンタイムパスワードや生体情報などを用いることで,利用者認証の強度を高める。
解説

ゼロトラストアーキテクチャは、ネットワークの内側にいるから安全、外側にいるから危険というように、場所だけを信頼の根拠にしない考え方です。

利用者・端末・アプリケーション・通信状況・アクセス先の重要度などを継続的に確認し、アクセスごとに認証・認可を行います。「何も信頼せず、常に検証する」という考え方が基本です。

ZTA

したがって、が適切です。

❌他選択肢が誤りの理由
ア:社内ネットワークと社外ネットワークの境界にファイアウォールなどを配置し,社内からの通信を信頼できるものとして扱う。
⇒従来型の境界防御の考え方です。社内ネットワークを信頼できる領域として扱う点が、ネットワークの内外を信頼の根拠にしないゼロトラストアーキテクチャとは異なります。
イ:管理対象サーバへの直接接続を禁止し,踏み台サーバを経由させることで,管理者の操作経路を集約して監査しやすくする。
⇒踏み台サーバによる管理アクセスの集約に関する説明です。管理経路を限定して監査しやすくする対策ですが、利用者・端末・通信状況などをアクセスごとに検証するゼロトラストアーキテクチャ全体の説明ではありません。
エ:パスワードに加えて,ワンタイムパスワードや生体情報などを用いることで,利用者認証の強度を高める。
⇒多要素認証の説明です。多要素認証はゼロトラストを実現するための要素の一つになり得ますが、ゼロトラストアーキテクチャそのものは、認証強化だけでなく、端末状態や通信状況なども含めてアクセスごとに検証・認可する考え方です。
TSUNAGARU-ADVICE

まず押さえたいこと

ゼロトラストアーキテクチャは、社内ネットワークだから安全、社外ネットワークだから危険という境界だけを信頼の根拠にしない考え方です。利用者・端末・アプリケーション・通信状況などを継続的に確認し、アクセスごとに認証・認可・検証を行う点が重要です。

迷ったときの判断軸

社内からの通信を信頼する考え方は従来の境界防御に近いものです。踏み台サーバによる操作経路の集約は管理アクセスの統制、多要素認証は認証強化策の一つです。ゼロトラストは、ネットワークの内外ではなく、アクセスのたびに信頼できるかを判断するものと整理しましょう。

科目Bにつなげるために

科目Bでは、クラウド利用・リモートワーク・社外端末・SaaS接続などを前提に、どの条件でアクセスを許可するかが問われることがあります。ゼロトラストでは、単に社内にいるかではなく、利用者の認証状況・端末の健全性・権限・通信先・リスク状態を組み合わせて判断する視点を持ちましょう。