sg sg-security-measures access_control it_security_operations
まず結論
ゼロトラストは、社内外を問わず一切信用せず、すべてのアクセスを検証するセキュリティモデルであり、SG試験では「内部は安全という前提を否定できるか」が重要です。
直感的な説明
「会社の中でも毎回本人確認する」イメージです。
従来(境界防御):
- 社内に入れば信頼
- 一度入れば自由にアクセス
ゼロトラスト:
- 社内でも毎回確認
- 必要な範囲だけ許可
👉
「中だから安全」は通用しない
定義・仕組み
ゼロトラストは、
- ネットワークの内外を区別せず
- すべてのアクセスを検証し
- 必要最小限の権限だけ許可する
というセキュリティモデルです。
■ 境界防御との違い(最重要)
| 観点 | 境界防御 | ゼロトラスト |
|---|---|---|
| 信頼 | 社内は信頼 | 一切信頼しない |
| 認証 | 最初だけ | 毎回確認 |
| 権限 | 広くなりがち | 最小権限 |
| 前提 | 内部は安全 | 内部も危険 |
👉 SG試験では
この対比を理解しているかが問われる
■ 基本の考え方
- 常に認証する(Authentication)
- 常に認可する(Authorization)
- 状況に応じて判断する(RBA)
👉
認証・認可・リスク判断を組み合わせる
■ 技術的な要素(今までの内容と接続)
- MFA → 認証強化
- SSO / IdP → 認証基盤
- RBA → 状況に応じた認証
- アクセス制御 → 権限管理
- ログ管理 → 監視・検知
👉
1つの技術ではなく組み合わせで実現する
どんな場面で使う?
■ 使う場面
- クラウド環境(SaaS)
- テレワーク
- 外部アクセスが多い環境
👉 現場では
「社内ネットワークでも信用しない」前提で設計する
■ 使うと誤解しやすい場面
- 社内ネットワークは安全
→ ゼロトラストでは誤り
- MFAを導入すればゼロトラスト
→ 不十分(全体設計が必要)
よくある誤解・混同
❌ 社内ネットワークは信頼できる
→ ⭕
ゼロトラストでは内部も信用しない
❌ 一度ログインすればずっと信頼
→ ⭕
アクセスごとに検証する
❌ ゼロトラスト=特定の製品
→ ⭕
考え方(セキュリティモデル)
❌ MFAだけで実現できる
→ ⭕
複数の仕組みの組み合わせが必要
■ SG試験でのひっかけ(重要)
- 「社内ネットワークは信頼できるため認証を簡略化する」
→ 誤り
- 「一度認証すればその後は検証しない」
→ 誤り
- 「状況に応じて認証を強化する」
→ ゼロトラストの考え方に合致
👉
“内部も信用しないか”で判断する
まとめ(試験直前用)
- ゼロトラスト=一切信用しない前提
- 社内外を区別しない
- 毎回認証・認可を行う
- MFA・RBAなどを組み合わせる
- SGでは「内部信頼の否定」で判断する
👉 判断基準
- 内部だから安全 → ❌
- 毎回検証する → ⭕
🔗 関連記事
- アクセス制御モデルとは?RBAC・ABAC・DAC・MACの違いを整理【情報セキュリティマネジメント】
- アクセス管理とは?特権IDとneed-to-knowで権限を適切に制御【情報セキュリティマネジメント】
- 監査ログとは?不正検知と追跡の基本【SG試験】
- 認証・アクセス制御まとめ|SSO・MFA・ゼロトラストを体系整理【情報セキュリティマネジメント】
- 認証・認可・アクセス制御の違いとは?役割の切り分けを整理【情報セキュリティマネジメント】