中小企業診断士の過去問令和3年度（2021年）経営情報システム問21

問題

このページは問題閲覧ページです。正解率や解答履歴を残すには、「条件を設定して出題する」をご利用ください。

[ 設定等 ]

業務システムのクラウド化やテレワークの普及によって、企業組織の内部と外部の境界が曖昧となり、ゼロトラストと呼ばれる情報セキュリティの考え方が浸透してきている。
ゼロトラストに関する記述として、最も適切なものはどれか。

1 .

組織内において情報セキュリティインシデントを引き起こす可能性のある利用者を早期に特定し教育することで、インシデント発生を未然に防ぐ。

2 .

通信データを暗号化して外部の侵入を防ぐVPN機器を撤廃し、認証の強化と認可の動的管理に集中する。

3 .

利用者と機器を信頼せず、認証を強化するとともに組織が管理する機器のみを構成員に利用させる。

4 .

利用者も機器もネットワーク環境も信頼せず、情報資産へのアクセス者を厳格に認証し、常に確認する。

5 .

利用者を信頼しないという考え方に基づき認証を重視するが、一度許可されたアクセス権は制限しない。

（中小企業診断士試験第1次試験経営情報システム　令和3年度（2021年）　問21 ）

訂正依頼・報告はこちら

この過去問の解説（3件）

答え：４

ゼロトラストに関する問題です。

旧来は、「社内からのアクセスは安全だが、外部からのアクセスは危険」という考えに基づき、その境界にファイヤウォールなどと呼ばれる防御壁を置くのが主流でした。しかし、近年は社内からの機密情報漏洩が多発していることから、社内からのアクセスも信用しない、すなわち機密情報にアクセスする者は誰一人として信用しない、という考え方が生まれました。これが「ゼロトラスト」です。

以下　解説

1. 誤り。利用者を教育することは、ゼロトラストに該当しません。

2. 誤り。VPN機器は安全性の確保に必要であり、それを撤廃することはゼロトラストの考えに反します。

3. 誤り。ゼロトラストは、あくまでも情報の保護に着目しています。ゼロトラストの考えでは、私用の機器や外部企業の機器を使用したとしても、それで情報が保護されるのであれば問題ありません。

4. 正しい。

5. 誤り。ゼロトラストは何も信頼しないことから、認証は毎回行われるべきです。

この解説の修正を提案する