ITパスポート 令和8年度 問92：securityに関する問題

答えは b です。

ゼロトラストは名前のとおり『何も信用しない（ゼロ・トラスト）』という考え方。

昔は『会社の中（内部ネットワーク）は安全、外は危険』と考えていました。でも今は中にも危険があるかも、と考えます。だから社内からでも社外からでも、毎回ちゃんと本人確認するのがゼロトラスト（b）。二要素認証＝パスワード＋スマホ確認のように二重チェックします。

👉 覚え方：ゼロトラスト＝『中だから安全』をやめて毎回チェック。

ほかの選択肢：a は『境界で守る』という昔ながらの考え方／c はパッチ適用／d は一部だけ対策で、どれもゼロトラストの核心ではありません。

なぜこれが正解か

正解は b。ゼロトラストは『何も信頼せず常に検証する（Never Trust, Always Verify）』という考え方。内部・外部の区別なく、すべてのアクセスを信頼できないものとして都度認証・認可する。社内ネットワークからのアクセスにも二要素認証を求めるbはこの考え方に合致する。

各選択肢の解説

• a：境界（ファイアウォール）で内外を区切り内部は信頼する＝従来の『境界型防御』。ゼロトラストの対極。
• b：内外問わず毎回二要素認証＝ゼロトラストの実践例。正しい。
• c：パッチの即時適用は重要だが脆弱性管理の話で、ゼロトラスト特有ではない。
• d：一部PCだけ対策＝ゼロトラストどころか不十分な対策。

覚え方・ひっかけ注意

『境界型＝内部は信頼／ゼロトラスト＝内部も信頼しない』の対比で覚える。aの境界防御を正解と誤認させるのが定番の罠。キーワードは『内外を区別しない・常に検証』。

理論的背景

ゼロトラストセキュリティ（Zero Trust Security）はJohn Kindervag（元Forrester Research）が2010年に提唱した「デフォルトで何も信頼しない（Never Trust, Always Verify）」という原則に基づくセキュリティモデルであり、本問正解bの「内部・外部ネットワーク問わずアクセスには二要素認証を利用する」が典型的な実践例。

ゼロトラストの根本的転換：従来の境界防御（Perimeter Security）モデルは「ファイアウォール内は信頼できる」という前提に基づく（選択肢aが境界防御の典型例）。ゼロトラストはこの前提を廃棄し「全てのアクセス要求を内外問わず検証する」という原則を採用。2020年のNIST SP 800-207（Zero Trust Architecture）で正式なアーキテクチャガイダンスが定義された。

ゼロトラストの7原則（NIST SP 800-207）：全リソースは安全でないとみなす・ネットワーク位置によらず最小権限でアクセス・全セッションごとに認証・認可・アクセスポリシーの動態的な適用・全リソースの完全性とセキュリティ態勢の監視・すべての認証・認可の動的実施・可能な限り多くのリソース情報の収集とセキュリティ態勢の改善に活用。

実務での使われ方

MicrosoftのゼロトラストアーキテクチャはMicrosoft Entra ID（旧Azure AD）・Intune（エンドポイント管理）・Defender（脅威対策）・Sentinel（SIEM）の統合スイートで実装されており、Conditional Access（条件付きアクセス）が本問のRBAとゼロトラストの交点として機能する。GoogleのBeyondCorpはゼロトラストの先駆的企業実装として2009年から内部展開され、2020年代に「BeyondCorp Enterprise」として外部提供された。

ZTNA（Zero Trust Network Access）はVPNを置き換える次世代リモートアクセス技術として急速に普及しており、Cloudflare Access・Zscaler Private Access・Cisco Duo等が代表的ソリューション。コロナ禍でのリモートワーク急拡大がゼロトラスト移行を加速した。SASE（Secure Access Service Edge：ガートナーが2019年定義）はゼロトラストをクラウドサービスとして統合提供するアーキテクチャ概念。

試験での位置づけ

ゼロトラストセキュリティはITパスポートのセキュリティ分野で近年出題頻度が急増しているトピック。2022年シラバス改訂でゼロトラストが追加され、DX推進・テレワーク普及を背景に毎年出題が見込まれる。識別の核心は「境界防御（内部は信頼）の否定」「全アクセスを検証」「ネットワーク位置による信頼の排除」。選択肢aの境界防御との対比問題は最も頻出のパターン。選択肢cのパッチ適用と選択肢dの一部PCへのマルウェア対策ソフト限定インストールはゼロトラストとは無関係な対策。基本情報技術者試験ではNIST SP 800-207の詳細・ZTNA vs VPN・SASE・SDP（Software Defined Perimeter）・IDaaS（Identity as a Service）の活用方法まで踏み込んだ問題が出題される。

選択肢の発展補足

選択肢aのファイアウォール境界防御が抱える限界を理解することでゼロトラストの必要性が明確になる。境界防御の5つの限界：(1)内部関係者（従業員・請負業者）による内部不正を防げない。(2)侵入した攻撃者がネットワーク内を自由に横移動（ラテラルムーブメント）できる。(3)クラウドサービス・SaaS利用で「内部ネットワーク」の境界が溶解している。(4)テレワーク・BYODでエンドポイントが境界外に存在する。(5)ゼロデイ攻撃・APT攻撃で境界突破後の被害拡大を防げない。2021年のSolarWindsサプライチェーン攻撃・2020年のFireEye不正アクセスはいずれも境界防御を突破した内部lateral movementの事例として、ゼロトラスト移行の必要性を示した歴史的事件。選択肢dの「インターネットアクセスするPCだけにマルウェア対策」は内部ネットワークPCを信頼するという境界防御的思考の残滓であり、ゼロトラストでは全エンドポイントがリスク管理対象となる。