ある企業のセキュリティアーキテクトが、ゼロトラスト戦略を採用する際に「明示的に検証する(Verify explicitly)」「最小特権アクセスを使用する(Use least privilege access)」という2つの柱に加えて、3つ目の核心原則を組み合わせようとしている。ゼロトラストの3つ目の原則として最も適切なものはどれか。
- A. 境界防御を強化する(Strengthen perimeter defense):ファイアウォールを多重化してネットワーク境界を守る
- B. 侵害を想定する(Assume breach):攻撃者がすでに内部にいるという前提でシステムを設計する
- C. 多要素認証を必須にする(Require MFA):すべてのユーザーにMFAを強制する
- D. すべてのトラフィックを暗号化する(Encrypt all traffic):通信を暗号化して盗聴を防ぐ
解答と解説を見る
正解: B
ゼロトラストの3つの核心原則は「明示的に検証する」「最小特権アクセスを使用する」「侵害を想定する(Assume breach)」である。「侵害を想定する」とは、攻撃者がすでにネットワーク内に侵入していると仮定し、爆発半径を最小化するためにセグメンテーション・暗号化・継続的監視を設計に組み込む考え方である。選択肢Dの暗号化は「侵害を想定する」の実装手段の一つであり、原則そのものではない。選択肢CのMFAは「明示的に検証する」の実装手段であり、独立した3番目の原則ではない。選択肢Aの境界防御強化はゼロトラストが否定する旧来の考え方であり、ゼロトラストの原則とは真逆の方向性である。