業務システムのクラウド化やテレワークの普及によって、企業組織の内部と外部の境界が曖昧となり、ゼロトラストと呼ばれる情報セキュリティの考え方が浸透してきている。
ゼロトラストに関する記述として、最も適切なものはどれか。
- 組織内において情報セキュリティインシデントを引き起こす可能性のある利用者を早期に特定し教育することで、インシデント発生を未然に防ぐ。
- 通信データを暗号化して外部の侵入を防ぐ VPN 機器を撤廃し、認証の強化と認可の動的管理に集中する。
- 利用者と機器を信頼せず、認証を強化するとともに組織が管理する機器のみを構成員に利用させる。
- 利用者も機器もネットワーク環境も信頼せず、情報資産へのアクセス者を厳格に認証し、常に確認する。
- 利用者を信頼しないという考え方に基づき認証を重視するが、一度許可されたアクセス権は制限しない。
解答
エ
解説
- 組織内において情報セキュリティインシデントを引き起こす可能性のある利用者を早期に特定し教育することで、インシデント発生を未然に防ぐ。
不適切です。 - 通信データを暗号化して外部の侵入を防ぐ VPN 機器を撤廃し、認証の強化と認可の動的管理に集中する。
不適切です。 - 利用者と機器を信頼せず、認証を強化するとともに組織が管理する機器のみを構成員に利用させる。
不適切です。 - 利用者も機器もネットワーク環境も信頼せず、情報資産へのアクセス者を厳格に認証し、常に確認する。
適切です。 - 利用者を信頼しないという考え方に基づき認証を重視するが、一度許可されたアクセス権は制限しない。
不適切です。