情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 令和7年度 科目A 公開問題 問3: ゼロトラストの説明として，最も適切なものはどれか。

問題本文

ゼロトラストの説明として，最も適切なものはどれか。

選択肢

• ア.機器やソフトウェアの脆弱性のうち，開発元から対策方法，修正プログラムなどが提供されていない脆弱性が残っている状態のこと
• イ.内部ネットワークであっても必ずしも安全ではないことを前提として対策を講じる考え方のこと
• ウ.秘密情報そのものは明かさずに，自分が秘密情報を知っていることを相手に知らせる方法のこと
• エ.マルウェア定義ファイルを用いず，PCの振る舞いからマルウェア感染を検知する手法のこと

正解

イ. 内部ネットワークであっても必ずしも安全ではないことを前提として対策を講じる考え方のこと

解説

ゼロトラストは「何も信頼しない（never trust, always verify）」を基本理念とし，社内・社外という境界に依存せず，内部ネットワークであっても安全とは限らないことを前提に，全てのアクセスを都度検証する考え方である。イがこの前提を正しく述べているため正解。他は無対策の脆弱性，ゼロ知識証明，振る舞い検知といった別概念の説明である。

選択肢ごとの解説

• ア.修正プログラム未提供の脆弱性が残る状態はゼロデイ脆弱性の説明であり，ゼロトラストではないため誤り。
• イ.内部ネットワークも安全と仮定せず検証するというのはゼロトラストの基本前提そのものであり正しい。
• ウ.秘密情報を明かさずに知っていることを証明する手法はゼロ知識証明の説明であり，ゼロトラストではないため誤り。
• エ.定義ファイルを用いず振る舞いで感染を検知するのはビヘイビア法（振る舞い検知）の説明であり，ゼロトラストではないため誤り。