問題
問46
ゼロトラストアーキテクチャの考え方に基づいたシステム監査の着眼点として、適切なものを全て挙げたものはどれか。
- a. 社内ネットワークからのアクセスは全て信頼できるものとして扱われているか。
- b. 情報資産へのアクセスは、その都度認証・認可が行われているか。
- c. ネットワークを境界で区切り、内部の安全を確保する対策が十分か。
- d. 端末やネットワークのセキュリティ状態を継続的に監視・評価しているか。
- a, c
- a, d
- b, c
- b, d
正解
正解は「エ」です。
解説
この問題の正解は「エ」です。ゼロトラストアーキテクチャは、「何も信頼しない」という考え方を基本とするセキュリティモデルです。従来の境界型セキュリティとは異なり、社内ネットワークであっても安全とは見なしません。この考え方に基づくと、システム監査では、情報資産へのアクセスごとに厳格なチェックが行われているか、そしてシステムの安全性が常に保たれているかが重要なポイントになります。
具体的には、「b. 情報資産へのアクセスは、その都度認証・認可が行われているか」と「d. 端末やネットワークのセキュリティ状態を継続的に監視・評価しているか」がゼロトラストの核となる要素です。例えば、会社の重要なファイルにアクセスする際、毎回IDとパスワードだけでなく、指紋認証なども求め、さらにその時のパソコンの状態もチェックする、といったイメージです。このように、ゼロトラストではアクセスがあるたびに利用者の身元とデバイスの安全性を確認し、セキュリティを常に維持することが求められるため、bとdが適切な着眼点となります。
ア(a, c):
aとcは、社内ネットワークは安全であるという前提の「境界型セキュリティ」の考え方であり、ゼロトラストとは逆のアプローチです。
イ(a, d):
aの「社内ネットワークは信頼できる」という点がゼロトラストの考え方に反します。
ウ(b, c):
cの「ネットワークを境界で区切る」という点は境界型セキュリティの考え方であり、ゼロトラストの主眼ではありません。
解法のポイント
この問題を解く鍵は、「ゼロトラスト」の基本的な考え方を理解しているかどうかにあります。「ゼロ(Zero)」、「トラスト(Trust)」という言葉の通り、「何も信頼しない」が原則です。つまり、社内も社外も区別せず、全てのアクセスを疑ってかかるという視点です。この原則さえ覚えていれば、「社内は安全」といった選択肢 (a, c) は間違いだとすぐに判断できます。そして、全てのアクセスを都度検証する (b) ことや、安全性を常に監視する (d) ことがゼロトラストの要件であると導き出せます。
用語補足
ゼロトラストアーキテクチャ:
社内外の区別なく、全ての通信を信頼しないことを前提とするセキュリティの考え方です。例えば、自宅に入る際に家族でも毎回「誰です。か?」と確認するような、徹底した安全確認の仕組みです。
認証・認可:
「認証」は相手が本人かを確認すること(例:IDとパスワード入力)、「認可」はその本人に何をする権限があるかを与えること(例:ファイルの閲覧は許可するが編集は許可しない)です。
システム監査:
情報システムが適切に管理・運用されているかを、専門家が客観的に点検・評価することです。会社の健康診断のように、システムに問題がないかを専門家がチェックするイメージです。
境界型セキュリティ:
社内ネットワークと社外(インターネット)の境界に壁(ファイアウォールなど)を設け、内部を守るという考え方です。お城の周りにお堀を掘って、外敵の侵入を防ぐのに似ています。
