情報セキュリティマネジメント試験 令和7年度 公開問題(過去問) 問3 について解説します。
問題
問3 ゼロトラストの説明として、最も適切なものはどれか。
ア 機器やソフトウェアの脆弱性のうち、開発元から対策方法、修正プログラムなどが提供されていない脆弱性が残っている状態のこと
イ 内部ネットワークであっても必ずしも安全ではないことを前提として対策を講じる考え方のこと
ウ 秘密情報そのものは明かさずに、自分が秘密情報を知っていることを相手に知らせる方法のこと
エ マルウェア定義ファイルを用いず、PC の振る舞いからマルウェア感染を検知する手法のこと
解説・解答
ゼロトラストとは
従来の考え方は「社内ネットワーク = 信頼できる」「社外(インターネット)= 危険」で、社内に入ってきた通信やユーザは一度認証すればあとはほぼ信頼できるという前提でした。(境界防御モデル)
しかし、最近は「テレワークで社外から社内へアクセス」「クラウドサービスの利用」「社内からの不正アクセス・端末乗っ取り」などが増え、社内だから安全とは言えない 状況になっています。
そこで出てきた考え方が「ゼロトラスト(Zero Trust)」です。これは、どこにいるユーザ・端末であっても基本的には信頼しない(=ゼロトラスト)で、都度確認しながらアクセスを許可するというセキュリティモデルです。内部ネットワークであっても安全とは限らない前提で対策します。
それぞれの選択肢について確認します。
ア: 機器やソフトウェアの脆弱性のうち、開発元から対策方法、修正プログラムなどが提供されていない脆弱性が残っている状態のこと
これは、まだパッチ(修正プログラム)が出ていない脆弱性、すなわちゼロデイ脆弱性の説明です。ゼロトラストではなくゼロデイに関する説明なので誤りです。
イ: 内部ネットワークであっても必ずしも安全ではないことを前提として対策を講じる考え方のこと
「内部ネットワークでも安全とは限らない」「それを前提として対策を講じる」という点が入っていて、これは上記で説明したゼロトラストの考え方そのものです。これが正解です。
ウ: 秘密情報そのものは明かさずに、自分が秘密情報を知っていることを相手に知らせる方法のこと
これは暗号分野のゼロ知識証明の説明です。ゼロ知識証明とは「自分が秘密情報(パスワードや鍵など)を知っていることを証明するが、その秘密情報そのものは一切相手に見せない」という仕組みのことです。例えば、チャレンジレスポンス認証などパスワードを送らない認証プロトコルなどが該当します。ゼロトラストとは別の概念ですので誤りです。
エ: マルウェア定義ファイルを用いず、PC の振る舞いからマルウェア感染を検知する手法のこと
これはウイルス定義ファイルに登録されていない未知のマルウェアをプログラムの特徴や振る舞いから推測して検知する手法(ヒューリスティック検知)の説明です。ゼロトラストの説明ではありませんので誤りです。
以上により、この問題の解答は「イ」になります。
