令和7年度試験問題 科目A問3
問3解説へ
ゼロトラストの説明として,最も適切なものはどれか。
- 機器やソフトウェアの脆弱性のうち,開発元から対策方法,修正プログラムなどが提供されていない脆弱性が残っている状態のこと
- 内部ネットワークであっても必ずしも安全ではないことを前提として対策を講じる考え方のこと
- 秘密情報そのものは明かさずに,自分が秘密情報を知っていることを相手に知らせる方法のこと
- マルウェア定義ファイルを用いず,PCの振る舞いからマルウェア感染を検知する手法のこと
正解 イ問題へ
分野 :テクノロジ系
中分類:セキュリティ
小分類:情報セキュリティ対策
中分類:セキュリティ
小分類:情報セキュリティ対策
広告
解説
ゼロトラストは、内部ネットワークであっても安全であるとは考えず、社外ネットワークと同様に信頼しないことを前提として情報セキュリティを構築する考え方です。
旧来の情報セキュリティ対策は、「境界防御」の対策強化に重点が置かれていました。これは、内部ネットワークが安全な領域であるという暗黙の想定があったからです。しかし、境界防御の仕組み上、境界を突破されて侵入を許した場合や、内部に脅威が存在する場合には対処が不十分となります。実際に近年のサイバー攻撃の高度化により、境界防御では防ぎきれない被害が顕在化しているのが現状です。このような背景から、境界防御だけに依存するのではなく、利用者・端末・通信のそれぞれを常に検証する「ゼロトラスト」や、入口・内部・出口といった複数の段階での対策を組み合わせて被害を防ぐ「多層防御」の考え方が提唱されています。
したがって「イ」の説明が適切となります。
旧来の情報セキュリティ対策は、「境界防御」の対策強化に重点が置かれていました。これは、内部ネットワークが安全な領域であるという暗黙の想定があったからです。しかし、境界防御の仕組み上、境界を突破されて侵入を許した場合や、内部に脅威が存在する場合には対処が不十分となります。実際に近年のサイバー攻撃の高度化により、境界防御では防ぎきれない被害が顕在化しているのが現状です。このような背景から、境界防御だけに依存するのではなく、利用者・端末・通信のそれぞれを常に検証する「ゼロトラスト」や、入口・内部・出口といった複数の段階での対策を組み合わせて被害を防ぐ「多層防御」の考え方が提唱されています。
したがって「イ」の説明が適切となります。
- ゼロデイ脆弱性の説明です。
- 正しい。ゼロトラストの説明です。ゼロトラストの具体的な施策としては、多要素認証による利用者認証の強化、端末のセキュリティ状態の確認、最小権限の原則、通信の暗号化、アクセス状況の常時監視・ログ分析などがあります。
- ゼロ知識証明の説明です。秘密情報を開示せずに正当性を証明する暗号技術です。
- ビヘイビア法(振る舞い検知)の説明です。
広告