AZ900-Architect#68-2
注: この問題は、同じ前提を持つ一連の問題の一部です。それぞれの問題には異なる解決策が提示されます。
前提
ある金融機関がゼロトラスト アーキテクチャを導入し、社内ネットワーク境界に依存しないセキュリティ モデルへ移行します。要件: 全アクセスで明示的検証、最小権限の原則、侵害想定 (Assume Breach) のフィロソフィー、Microsoft Entra ID をベースに実装。
解決策
Microsoft Entra PIM (Privileged Identity Management) で管理者ロールを Just-In-Time で昇格、最小権限の原則を実装する。
この解決策は目的を満たしますか?
解説
【判定: はい】の理由
PIM の Just-In-Time 昇格はゼロトラストの「最小権限」原則を直接実装する機能です。グローバル管理者などの強い特権を申請 / 承認 / 一定時間有効 / 自動失効のフローに移し、常時保持による侵害リスクを大幅に削減します。承認ワークフローや MFA 必須化、監査ログにより要件を満たします。
【「いいえ」が違う理由】
PIM はアクセス レビューや監査ログを通じ、特権ロールの棚卸しと不正利用検知も可能です。Defender for Identity と組み合わせれば異常な横移動も検知でき、金融機関の特権管理に必要な統制を満たします。したがって解決策が目的を満たさないとする判定は誤りです。
コメント