AZ900-Architect#68-3
注: この問題は、同じ前提を持つ一連の問題の一部です。それぞれの問題には異なる解決策が提示されます。
前提
ある金融機関がゼロトラスト アーキテクチャを導入し、社内ネットワーク境界に依存しないセキュリティ モデルへ移行します。要件: 全アクセスで明示的検証、最小権限の原則、侵害想定 (Assume Breach) のフィロソフィー、Microsoft Entra ID をベースに実装。
解決策
社内ネットワーク (10.0.0.0/8) からのアクセスは常に信頼し、外部からのアクセスのみ MFA を要求する。
この解決策は目的を満たしますか?
解説
【判定: いいえ】の理由
この解決策はゼロトラストの「Assume breach (侵害想定)」原則と矛盾します。ゼロトラストはネットワークの内外を問わずすべてのアクセスを検証する考え方で、社内ネットワークを無条件に信頼するモデルはペリメター セキュリティそのものです。横移動や内部脅威による侵害事例も多く、要件と整合しません。
【「はい」が違う理由】
社内 / 社外を問わず MFA を必須化し、デバイス準拠やリスク ベース評価を組み合わせるのが正解です。ネットワーク場所を信頼基準にすると Assume Breach に反するため、解決策が要件を満たすとする判定は誤りです。
コメント