中小企業診断士の過去問
令和3年度(2021年)
経営情報システム 問21
このページは閲覧用ページです。
履歴を残すには、 「新しく出題する(ここをクリック)」 をご利用ください。
問題
中小企業診断士試験 第1次試験 経営情報システム 令和3年度(2021年) 問21 (訂正依頼・報告はこちら)
業務システムのクラウド化やテレワークの普及によって、企業組織の内部と外部の境界が曖昧となり、ゼロトラストと呼ばれる情報セキュリティの考え方が浸透してきている。
ゼロトラストに関する記述として、最も適切なものはどれか。
ゼロトラストに関する記述として、最も適切なものはどれか。
- 組織内において情報セキュリティインシデントを引き起こす可能性のある利用者を早期に特定し教育することで、インシデント発生を未然に防ぐ。
- 通信データを暗号化して外部の侵入を防ぐVPN機器を撤廃し、認証の強化と認可の動的管理に集中する。
- 利用者と機器を信頼せず、認証を強化するとともに組織が管理する機器のみを構成員に利用させる。
- 利用者も機器もネットワーク環境も信頼せず、情報資産へのアクセス者を厳格に認証し、常に確認する。
- 利用者を信頼しないという考え方に基づき認証を重視するが、一度許可されたアクセス権は制限しない。
正解!素晴らしいです
残念...
この過去問の解説 (3件)
01
答え:4
ゼロトラストに関する問題です。
旧来は、「社内からのアクセスは安全だが、外部からのアクセスは危険」という考えに基づき、その境界にファイヤウォールなどと呼ばれる防御壁を置くのが主流でした。しかし、近年は社内からの機密情報漏洩が多発していることから、社内からのアクセスも信用しない、すなわち機密情報にアクセスする者は誰一人として信用しない、という考え方が生まれました。これが「ゼロトラスト」です。
以下 解説
1. 誤り。利用者を教育することは、ゼロトラストに該当しません。
2. 誤り。VPN機器は安全性の確保に必要であり、それを撤廃することはゼロトラストの考えに反します。
3. 誤り。ゼロトラストは、あくまでも情報の保護に着目しています。ゼロトラストの考えでは、私用の機器や外部企業の機器を使用したとしても、それで情報が保護されるのであれば問題ありません。
4. 正しい。
5. 誤り。ゼロトラストは何も信頼しないことから、認証は毎回行われるべきです。
参考になった数9
この解説の修正を提案する
02
1.誤り。利用者を早期に特定し教育することはゼロトラストの考え方ではありません。
2.誤り。VPNを撤廃することはゼロトラストの考え方に反します。
3.誤り。ゼロトラストはネットワーク機器の外部での利用も含めた対策の考え方です。
4.正しい。
5.ゼロトラストは何も信頼しないことから、アクセス権を制限しないのは不適切です。
参考になった数6
この解説の修正を提案する
03
ゼロトラストに関する問題です。
ゼロトラストとは、情報資産にアクセスするものはすべて信用せずにその安全性を検証することで、情報資産への脅威を防ぐという考え方のことです。
上記説明より、不適切です。
上記説明より、不適切です。
上記説明より、不適切です。
正解です。
上記説明より、不適切です。
参考になった数4
この解説の修正を提案する
前の問題(問20)へ
令和3年度(2021年)問題一覧
次の問題(問22)へ