問題
問92
ゼロトラストセキュリティの考え方に基づいた情報セキュリティ対策の例として, 適切なものはどれか。
- インターネットと内部ネットワークの境界にファイアウォールを配置し, インターネットからの脅威を境界で遮断する。
- 内部ネットワークからであっても外部ネットワークからであっても, ネットワーク上の情報資源へのアクセスには二要素認証を利用する。
- 内部ネットワークに接続する PC にインストールされたソフトウェアに脆弱性が発見されたときに, そのセキュリティパッチは公開後直ちに適用する。
- 内部ネットワークに接続する PC のうち, インターネットにアクセスする PC だけにマルウェア対策ソフトをインストールする。
[出典:ITパスポート試験 令和8年度 問92]
正解
正解は「イ」です。
解説
正解は、選択肢「イ」です。ゼロトラストセキュリティとは、その名の通り「何も信頼しない(Zero Trust)」という前提に立ってセキュリティを構築する考え方のことです。従来の一般的な対策は、会社のネットワークのような「内側」は安全であり、インターネットのような「外側」は危険であると明確に分ける「境界型防御」が主流でした。これは、一度お城の門をくぐって中に入ってしまえば、誰もが味方として信頼されるような状態です。
しかし、近年ではテレワークやクラウドサービスの普及により、どこまでが内側でどこからが外側かの区別が難しくなっています。また、一度内側に侵入を許すと被害が拡大しやすいという弱点もありました。そこでゼロトラストでは、「たとえ社内のネットワークからであっても、すべてを疑って毎回厳重に検証する」ことを基本とします。選択肢イのように、アクセスのたびに場所を問わず厳重な確認(二要素認証など)を行うのは、まさにこの考え方を体現しています。
例えるなら、空港の保安検査のように、どこから来た人であっても、飛行機に乗る前には必ず全員が厳格なチェックを受けるようなイメージです。このように「場所に関わらず常に身元をしっかり確認する」ことで、不正アクセスのリスクを大幅に下げることができます。
ア(インターネットと内部ネットワークの境界にファイアウォールを配置し…):
これは従来の「境界型防御」の考え方です。ネットワークの内側を安全な領域と見なしているため、ゼロトラストとは異なります。
ウ(ソフトウェアに脆弱性が発見されたときに, セキュリティパッチを適用…):
セキュリティパッチの適用は重要な対策(脆弱性管理)ですが、内側・外側を問わず検証するというゼロトラスト固有の概念ではありません。
エ(インターネットにアクセスする PC だけにマルウェア対策ソフトを…):
特定のPCのみを対策の対象とすることや、インターネット利用の有無で信頼性を判断することはゼロトラストの原則に反しています。
難易度
この問題は、近年のIT試験で非常に出題頻度が高まっている最新のトレンド用語を扱っています。IT初心者の方にとっては「ゼロトラスト」という言葉自体が聞き慣れないかもしれませんが、「内側であっても疑う」という核心的な意味さえ押さえていれば、正解を導き出すのはそれほど難しくありません。日常生活でも二要素認証などが普及しているため、自分の経験と結びつけて考えると、非常にイメージしやすく解きやすい問題だと言えます。
用語補足
ゼロトラスト:
「すべてを信頼しない」ことを前提としたセキュリティの考え方です。ネットワークの内外を区別せず、アクセスのたびに厳格な認証と認可を行います。
二要素認証:
ID・パスワードなどの「知識」、スマホなどの「所持」、指紋などの「生体」のうち、2つの異なる要素を組み合わせて本人確認を行う、安全性の高い認証方法です。
ファイアウォール:
ネットワークの境界に設置し、あらかじめ設定したルールに基づいて通過させる通信と遮断する通信を制御する「防火壁」のような役割を持つ仕組みです。
セキュリティパッチ:
OSやソフトウェアで見つかった脆弱性(セキュリティ上の弱点)を修正するために配布される更新プログラムのことです。服の「継ぎ当て(パッチ)」が語源です。
対策
「ゼロトラスト=内側も常に疑う」というキーワードをしっかり覚えましょう。対策として「認証の強化(二要素認証)」や「最小権限の原則」がセットで出題されることが多いです。従来の「境界型防御(外側を塞ぎ、内側を信じる)」との違いを整理しておくことが合格へのポイントです。特にリモートワークなどの新しい働き方と関連した文脈で出題されやすいため、最新の用語集で事例を確認しておくと安心です。
