ゼロトラストとは

定義

社内ネットワークであっても無条件に信頼せず、利用者、端末、アプリケーション、通信をその都度検証するセキュリティの考え方。従来の境界防御だけに依存せず、認証・認可、端末状態の確認、最小権限、ログ監視などを組み合わせる。クラウド利用やリモートワークの拡大に伴い、ITパスポートや情報セキュリティマネジメントでも基本概念として問われやすい。

ITパスポート・基本情報での出題ポイント

暗号・認証の用語は、機密性、完全性、真正性、否認防止のどれを実現する技術かが問われます。共通鍵、公開鍵、ハッシュ、署名、証明書の役割分担を整理しておくと、組合せ問題に対応しやすくなります。

具体例で理解する

よく問われるパターン

• 暗号方式や認証方式が実現する性質を選ぶ。
• 鍵の配布、証明書、電子署名、ハッシュ値の役割を問う。
• 通信や保存データを守るための適切な方式を判断する。

選択肢で狙われる違い

• 一度ログインすれば以後は信頼してよいという考え方だと判断する。

  継続的に確認し、必要最小限のアクセスだけを許可する。

• 社内LANの境界を強化するだけの対策と考える。

  境界の内外を問わず信頼しない前提でアクセス制御する。

関連する過去問

• 情報セキュリティマネジメント 令和7年度 科目A 問3ゼロトラストの説明として，最も適切なものはどれか。関連: ゼロトラスト / 全てのアクセス
• ITパスポート 2011年 (平成23年 特別) 問43内部統制機能を構築するに当たって,仕事の役割分担や仕事の権限を明確にすることを何というか。関連: 継続的に確認
• 情報セキュリティマネジメント 科目B 問57A 社は従業員 600 名の投資コンサルティング会社である。東京の本社には，情報システム部，監査部などの管理部門があ...関連: 最小権限
• 情報セキュリティマネジメント 平成31年度春期 午前 問25データベースのアカウントの種類とそれに付与する権限の組合せのうち，情報セキュリティ上，適切なものはどれか。関連: 最小権限
• 情報セキュリティマネジメント 平成29年度秋期 午前 問25データベースのアカウントの種類とそれに付与する権限の組合せのうち，情報セキュリティ上，適切なものはどれか。関連: 最小権限
• 情報セキュリティマネジメント 平成28年度春期 午前 問15システム管理者による内部不正を防止する対策として，適切なものはどれか。関連: 最小権限
• 情報セキュリティマネジメント 科目A 問24リスクベース認証に該当するものはどれか。関連: 全てのアクセス
• 情報セキュリティマネジメント 令和元年度秋期 午前 問24リスクベース認証に該当するものはどれか。関連: 全てのアクセス
• 情報セキュリティマネジメント 平成30年度春期 午前 問25リスクベース認証に該当するものはどれか。関連: 全てのアクセス

関連用語(暗号・認証)

• RSAあーるえすえー
• IPsecあいぴーせっく
• 暗号の危殆化あんごうのきたいか
• SMTP-AUTHえすえむてぃーぴーおーす
• S/MIMEえすまいむ
• OpenPGPおーぷんぴーじーぴー

間違えやすい用語との違い

ゼロトラストと同じ「暗号・認証」の用語では、RSA、IPsec、暗号の危殆化などが近い文脈で問われます。使う鍵の種類、守る性質、検証者、鍵管理の方法を軸に比較してください。