ITパスポート過去問 令和8年度(2026年)問92
ゼロトラストセキュリティの考え方に基づいた情報セキュリティ対策の例として,適切なものはどれか。
選択肢
- ア:インターネットと内部ネットワークの境界にファイアウォールを配置し,インターネットからの脅威を境界で遮断する。
- イ:内部ネットワークからであっても外部ネットワークからであっても,ネットワー ク上の情報資源へのアクセスには二要素認証を利用する。
- ウ:内部ネットワークに接続するPCにインストールされたソフトウェアに脆弱性(ぜいじゃくせい)が 発見されたときに,そのセキュリティパッチは公開後直ちに適用する。
- エ:内部ネットワークに接続するPCのうち,インターネットにアクセスするPCだけにマルウェア対策ソフトをインストールする。
- ア
- イ
- ウ
- エ
正解と解き方・学習ポイント(AI解説)
ゼロトラストセキュリティは、社内ネットワークなどの内部であっても安全だと決めつけず、情報資源へアクセスするたびに利用者や端末を確認し、許可されたアクセスだけを通す考え方です。したがって、内部からのアクセスでも外部からのアクセスでも要素認証を用いて本人確認を行う「イ」が適切です。
Point
この問題は、ゼロトラストセキュリティの前提が「内部は安全」ではなく「内部・外部を区別せずに検証する」であることを理解しているかを確認しています。境界の機器で守る境界型防御との違いとして、アクセスごとに認証などで確認する対策を選べることが重要です。
解くために必要な知識
この問題を解くには、ゼロトラストセキュリティと要素認証(多要素認証)の考え方を理解しておく必要があります。
用語の整理
| 用語 | 意味 |
|---|---|
| ゼロトラストセキュリティ | ネットワークの内外を問わず信頼せず、利用者・端末・状況などを確認(認証・認可)してアクセスを許可する考え方です。 |
| 要素認証(多要素認証) | 知識(パスワードなど)、所持(トークンなど)、生体(指紋など)のような異なる種類の要素を用いて本人確認する方式です。 |
| 認証 | 利用者が誰かを確認することです。 |
| 認可 | 認証された利用者に、どの情報資源へのどの操作を許すかを決めることです。 |
他の選択肢に出てくる用語
| 用語 | 意味 |
|---|---|
| ファイアウォール | 通信の許可・遮断を行い、ネットワーク間のアクセスを制御する仕組みです。 |
| 境界防御 | インターネットと内部ネットワークの境界で対策し、内部は比較的安全とみなす考え方です。 |
| 脆弱性 | ソフトウェアなどの弱点で、攻撃に悪用される可能性があるものです。 |
| セキュリティパッチ | 脆弱性などを修正する更新プログラムです。 |
| マルウェア対策ソフト | マルウェアの検出、隔離、駆除などを行うソフトウェアです。 |
問題の解法手順
各選択肢の整理
| 選択肢 | ゼロトラストの観点で確認する点 | 判定 |
|---|---|---|
| ア | 境界で遮断して内部は信頼する前提になっていないか | 不適切 |
| イ | 内部・外部を区別せず、アクセス時に認証で検証しているか | 適切 |
| ウ | 脆弱性対策として重要だが、アクセスの都度の検証になっているか | 不適切 |
| エ | 一部端末だけ対策し、内部は安全という前提になっていないか | 不適切 |
判断のポイント
ゼロトラストの基本
内部ネットワークでも安全とはみなさず、情報資源へのアクセスのたびに認証・認可で確認します。
本問での見分け方
「内部でも外部でも同じように認証を行う」記述がある選択肢を選びます。
選択肢ごとの解説
- ア:不正解
インターネットと内部ネットワークの境界にファイアウォールを置いて脅威を遮断するのは、境界防御の説明です。ゼロトラストは内部を当然に安全とはみなさないため、境界だけで守る内容は本問の例として不適切です。
- イ:正解
内部ネットワークからでも外部ネットワークからでも、情報資源へのアクセスに要素認証を使うのは、アクセスの都度に検証するというゼロトラストの考え方に合致します。よって適切です。
- ウ:不正解
セキュリティパッチを速やかに適用することは重要な基本対策ですが、主に脆弱性管理の説明です。本問が求めるゼロトラストの例(アクセスの都度の認証・認可による検証)としては直接的ではないため不適切です。
- エ:不正解
インターネットにアクセスするPCだけにマルウェア対策ソフトを入れるのは、内部ネットワーク側を相対的に安全とみなす前提になり得ます。ゼロトラストでは内部経由の侵害も前提にするため、対象を限定する考え方は本問の例として不適切です。
まとめ
ゼロトラストセキュリティは、社内ネットワークなどの内部であっても安全だと決めつけず、情報資源へアクセスするたびに利用者や端末を確認し、許可されたアクセスだけを通す考え方です。したがって、内部からのアクセスでも外部からのアクセスでも要素認証を用いて本人確認を行う「イ」が適切です。
テクノロジ系 > 技術要素 > セキュリティ
インターネットと内部ネットワークの境界にファイアウォールを置いて脅威を遮断するのは、境界防御の説明です。ゼロトラストは内部を当然に安全とはみなさないため、境界だけで守る内容は本問の例として不適切です。
内部ネットワークからでも外部ネットワークからでも、情報資源へのアクセスに要素認証を使うのは、アクセスの都度に検証するというゼロトラストの考え方に合致します。よって適切です。
セキュリティパッチを速やかに適用することは重要な基本対策ですが、主に脆弱性管理の説明です。本問が求めるゼロトラストの例(アクセスの都度の認証・認可による検証)としては直接的ではないため不適切です。
インターネットにアクセスするPCだけにマルウェア対策ソフトを入れるのは、内部ネットワーク側を相対的に安全とみなす前提になり得ます。ゼロトラストでは内部経由の侵害も前提にするため、対象を限定する考え方は本問の例として不適切です。