情報セキュリティマネジメント試験 過去問解説
ゼロトラストとは?情報セキュリティマネジメント試験 令和7年度 科目A 問3を解説
情報セキュリティマネジメント試験 令和7年度 科目A 問3は、ゼロトラストに関する理解を問う問題です。検索から入っても、問題文、選択肢、正解、解説、各選択肢がなぜ違うかをこのページだけで確認できます。
問題文
ゼロトラストの説明として,最も適切なものはどれか。
この問題の出題ポイント
- ゼロトラストの定義だけでなく、問題文中の条件がどの選択肢に当てはまるかを確認する。
選択肢
- ア機器やソフトウェアの脆弱性のうち,開発元から対策方法,修正プログラムなどが提供されていない脆弱性が残っている状態のこと
- イ内部ネットワークであっても必ずしも安全ではないことを前提として対策を講じる考え方のこと正解
- ウ秘密情報そのものは明かさずに,自分が秘密情報を知っていることを相手に知らせる方法のこと
- エマルウェア定義ファイルを用いず,PCの振る舞いからマルウェア感染を検知する手法のこと
正解
イ: 内部ネットワークであっても必ずしも安全ではないことを前提として対策を講じる考え方のこと
解説
ゼロトラストは「何も信頼しない(never trust, always verify)」を基本理念とし,社内・社外という境界に依存せず,内部ネットワークであっても安全とは限らないことを前提に,全てのアクセスを都度検証する考え方である。イがこの前提を正しく述べているため正解。他は無対策の脆弱性,ゼロ知識証明,振る舞い検知といった別概念の説明である。
なぜ他の選択肢が違うのか
ア
修正プログラム未提供の脆弱性が残る状態はゼロデイ脆弱性の説明であり,ゼロトラストではないため誤り。
イ(正解)
内部ネットワークも安全と仮定せず検証するというのはゼロトラストの基本前提そのものであり正しい。
ウ
秘密情報を明かさずに知っていることを証明する手法はゼロ知識証明の説明であり,ゼロトラストではないため誤り。
エ
定義ファイルを用いず振る舞いで感染を検知するのはビヘイビア法(振る舞い検知)の説明であり,ゼロトラストではないため誤り。
解き方の整理
ゼロトラストの問題では、選択肢のキーワードだけで判断せず、問題文が示す条件と正解選択肢の説明が一致しているかを見ます。誤答選択肢は、似た用語を混ぜる、主体を入れ替える、目的や範囲を広げすぎる、という形で作られることが多いため、選択肢別解説まで確認しておくと復習効率が上がります。
関連問題
前後の問題
復習を続ける
間違えた問題、苦手タグ、模試履歴を保存して復習する導線を用意しています。広告なしPro、弱点分析、復習リマインダーは段階的に提供予定です。