4.
業務システムのクラウド化やテレワークの普及によって、企業組織の内部と外部の境界が曖昧となり、ゼロトラストと呼ばれる情報セキュリティの考え方が浸透してきている。ゼロトラストに関する記述として、最も適切なものはどれか。
ゼロトラスト、恥ずかしながら聞いたことが無いです。Wikiでとりあえず調べてみました。
『ゼロトラスト・セキュリティモデル(英: zero trust security model)は、ITシステムの設計及び実装に関するモデルである。ゼロトラスト・アーキテクチャ(zero trust architecture、ZTA)とも呼ばれる。ゼロトラスト・セキュリティモデルは「決して信用せず、常に検証せよ」という考えに基づいている[1]。』とのことです。
どうやら、セキュリティに関する考え方の話のようです。常に疑ってかかれっていう姿勢や考え方のようです。
選択肢を見ていきましょう。
1.組織内において情報セキュリティインシデントを引き起こす可能性のある利用者を早期に特定し教育することで、インシデント発生を未然に防ぐ。
関係ない説明です。
2.通信データを暗号化して外部の侵入を防ぐ VPN 機器を撤廃し、認証の強化と認可の動的管理に集中する。
これも関係ないですね。
3.利用者と機器を信頼せず、認証を強化するとともに組織が管理する機器のみを構成員に利用させる。
ゼロトラストは、別に危機を限定するモデルではありませんね。誤りです。
4.利用者も機器もネットワーク環境も信頼せず、情報資産へのアクセス者を厳格に認証し、常に確認する。
これが正解です。
5.利用者を信頼しないという考え方に基づき認証を重視するが、一度許可されたアクセス権は制限しない。
何も信用しないのが基本です。一度許可されたアクセス権についても信用しません。
以上より、4が正解です。