ある企業のセキュリティチームがAzureでゼロトラストセキュリティモデルを実装しようとしている。「ゼロトラスト」の原則に最も合致するAzureの機能の組み合わせはどれか。
- A. Azureファイアウォールのみを使用してすべてのトラフィックをネットワーク境界で検査する
- B. すべてのリソースをVNetに配置して内部ネットワークを「信頼済み」と定義する
- C. すべてのユーザーにAdministratorロールを付与してアクセス制限を撤廃する
- D. Microsoft Entra IDの条件付きアクセス(アイデンティティ検証)+Microsoft Intuneのデバイスコンプライアンス(デバイス健全性の確認)+Azure Private Link(最小権限のネットワークアクセス)を組み合わせる
解答と解説を見る
正解: D
ゼロトラストの原則は「明示的に検証する・最小権限でアクセスを許可する・常に侵害を想定する」の3つである。Microsoft Entra IDの条件付きアクセスはサインインごとにアイデンティティ・場所・デバイス状態・リスクを検証する(明示的に検証)。Microsoft Intuneのデバイスコンプライアンスはデバイスのセキュリティ状態を確認してコンプライアンス準拠デバイスのみアクセスを許可する(デバイス健全性の確認)。Azure Private Linkは必要なサービスへのみプライベートアクセスを許可する(最小権限のネットワークアクセス)。選択肢AのFirewallのみによるネットワーク境界防御は従来の「内部は信頼」モデルであり、ゼロトラストとは異なる。選択肢CはAdministrator権限を全員に付与するもので、最小権限の原則に真逆である。選択肢Bのすべての内部ネットワークを信頼済みとする定義もゼロトラストの「常に侵害を想定する」原則に反する。
📚 関連サービスの解説: Microsoft Entra ID