令和8年度 ITパスポート試験 公開問題 問92 解説 ゼロトラストの概念

ゼロトラストセキュリティの判断基準

ゼロトラストとは、「境界の内側は安全で、外側は危険である」という従来の考え方を否定し、「すべての通信やアクセスは信頼できないものとして、都度検証を行う」という考え方です。この問題では、通信元が内部か外部かを問わず、一律の厳格な認証を求めているイを選択することが正解となります。

境界防御モデルとゼロトラストモデルの違い

かつてのセキュリティ対策は、社内ネットワークを城壁（境界）で囲い、その内側は安全であると見なす「境界防御」が主流でした。しかし、近年のクラウドサービスの普及やテレワークの浸透により、物理的な境界線は曖昧になっています。

ゼロトラストモデルでは、境界線の概念を排除します。たとえ社内からのアクセスであっても、常に攻撃を受けている前提で対策を講じます。「内部ネットワークからだからパスワードだけで良い」「内部だから検証は不要」といった例外を認めず、誰が、どの端末から、何にアクセスしようとしているのかを常に確認し、正当な権限がある場合のみアクセスを許可します。

二要素認証がなぜゼロトラストに適しているのか

選択肢イにある二要素認証は、パスワードなどの「知識情報」に加えて、スマホアプリの認証コードや指紋認証といった「所持情報」や「生体情報」を組み合わせる手法です。

ゼロトラストにおいては、万が一IDとパスワードが漏えいしたとしても、物理的な端末や生体情報がなければ侵入できない状態を作ることが重要です。ネットワークの物理的な位置（社内か社外か）に依存せず、常に高いセキュリティレベルを維持するこの仕組みは、ゼロトラストの基本原則である「常に検証する」という考え方を体現しています。

他の選択肢が誤りである理由

アは、まさに従来の「境界防御」そのものの説明です。ファイアウォールによる遮断は重要ですが、内部に侵入された場合に無力になるため、ゼロトラストの考え方とは対照的です。

ウは、セキュリティパッチの迅速な適用という、運用管理上は正しい行為です。しかし、これは脆弱性管理の範疇であり、ゼロトラストの核心である「アクセスごとの認証・認可」とは直接的な関連が薄いため、不適切です。

エは、インターネットにアクセスするPCだけに限定して対策を行うという考え方ですが、ゼロトラストでは社内のすべての通信が検証対象となるため、範囲を限定するような手法は適していません。

現場で活用されるゼロトラストの考え方

現代のIT環境では、クラウド上のシステムへアクセスする際に「誰がどの端末からアクセスしているか」を判断するアイデンティティ管理（IDaaS）が非常に重要になっています。例えば、会社から支給された端末かつ二要素認証を通過したものだけがSaaSを利用できる、といったアクセス制御は、まさにゼロトラストに基づいた設計です。この知識は、これから社会に出た際に、企業のセキュリティポリシーを理解し、安全に業務を行うための基礎教養となります。

参考リンク

• ゼロトラストとは？（ゼロトラストの定義と必要性）
• ゼロトラストセキュリティの考え方（IPA 独立行政法人 情報処理推進機構）
• NIST Special Publication 800-207 ゼロトラスト・アーキテクチャ（日本語訳）