WEB問題集
解説
【正解: A】の理由
Microsoft Entra MFA は多様な第 2 要素をサポートし、Microsoft Authenticator アプリ (プッシュ通知 / 番号一致でフィッシング耐性が高い)、FIDO2 セキュリティ キー、Windows Hello for Business (TPM ベースの生体 / PIN)、SMS / 音声通話、OATH ハードウェア トークンを提供します。Conditional Access で特定方式のみを許可する細粒制御もできます。
【他選択肢が違う理由】
- B. SMS のみ: SMS は SIM スワッピング攻撃に脆弱で段階的廃止方向のため、対応方式の代表ではありません
- C. ユーザー名のみ: ユーザー名は ID であり認証要素ではないため、MFA 方式に含まれません
- D. CD-ROM 挿入のみ: CD 挿入は認証方式ではなく Entra MFA と無関係のため、誤りです
解説
【正解: A】の理由
Conditional Access は Entra ID のゼロトラストを実装する中核機能で、ユーザー / グループ、デバイス準拠状態、サインインの場所 / リスク レベル、アプリ、ターゲット リソース、リアルタイム リスクなどのシグナルを総合評価し、許可 / ブロック / MFA 要求 / 準拠デバイス必須 / セッション制御を動的に決定します。
【他選択肢が違う理由】
- B. パスワード長のみ: パスワード長はパスワード ポリシーの領域で、CA のシグナル全体を表現できません
- C. ユーザー名の最初の文字: 意味のない指標で CA の評価対象ではありません
- D. CA をサポートしない: CA は Entra ID Premium P1 以上で利用できる主要機能で、サポートされない記述は誤りです
解説
【正解: A】の理由
Entra ID のパスワードレス認証は 3 種類で、Windows Hello for Business (TPM + 生体 / PIN)、FIDO2 セキュリティ キー (物理キーでフィッシング耐性)、Microsoft Authenticator アプリ (Phone Sign-in / Passkey) です。いずれも FIDO2 / WebAuthn 等の標準に基づきパスワード漏洩リスクを根本から排除します。
【他選択肢が違う理由】
- B. 平文メールでパスワード送付: パスワードを使う方式でパスワードレスとは正反対のため、誤りです
- C. 電話で口頭通知: ソーシャル エンジニアリングに弱く、そもそも認証方式として標準化されていません
- D. 紙保管: 物理的盗難 / 紛失リスクが高く、パスワードレスの定義に該当しません
解説
【判定: はい】の理由
MFA 必須化 + Conditional Access でのデバイス準拠 / 場所 / リスク ベースの制御は、ゼロトラストの「明示的検証」原則の典型実装です。Identity Protection の AI 判定を CA と連携すれば、漏洩クレデンシャルや異常な地理を検知して自動でアクセス制御を強化できます。要件 (1) と (4) を直接満たします。
【「いいえ」が違う理由】
MFA と CA はゼロトラストの基礎で、特に金融機関のような規制環境では必須の統制です。デバイス準拠やリスク評価を組み合わせれば「Never trust, always verify」を実現でき、要件と矛盾しません。したがって目的を満たさないとする判定は誤りです。
解説
【判定: はい】の理由
PIM の Just-In-Time 昇格はゼロトラストの「最小権限」原則を直接実装する機能です。グローバル管理者などの強い特権を申請 / 承認 / 一定時間有効 / 自動失効のフローに移し、常時保持による侵害リスクを大幅に削減します。承認ワークフローや MFA 必須化、監査ログにより要件を満たします。
【「いいえ」が違う理由】
PIM はアクセス レビューや監査ログを通じ、特権ロールの棚卸しと不正利用検知も可能です。Defender for Identity と組み合わせれば異常な横移動も検知でき、金融機関の特権管理に必要な統制を満たします。したがって解決策が目的を満たさないとする判定は誤りです。
解説
【判定: いいえ】の理由
この解決策はゼロトラストの「Assume breach (侵害想定)」原則と矛盾します。ゼロトラストはネットワークの内外を問わずすべてのアクセスを検証する考え方で、社内ネットワークを無条件に信頼するモデルはペリメター セキュリティそのものです。横移動や内部脅威による侵害事例も多く、要件と整合しません。
【「はい」が違う理由】
社内 / 社外を問わず MFA を必須化し、デバイス準拠やリスク ベース評価を組み合わせるのが正解です。ネットワーク場所を信頼基準にすると Assume Breach に反するため、解決策が要件を満たすとする判定は誤りです。
解説
【正解: A】の理由
PIM は Entra ID Premium P2 で提供される特権管理機能で、Global Admin などのロールを Just-In-Time でアクティブ化し、承認ワークフロー / MFA 必須化 / アクティブ化理由の記録 / 監査ログ / アクセス レビューを通じて常時保持リスクを削減します。最小権限原則の実装基盤として機能します。
【他選択肢が違う理由】
- B. 一般ユーザーのパスワード リセット: それは SSPR の領域で、PIM は特権ロール管理に特化しています
- C. 物理ハードウェアの管理: ハードウェア管理は別領域で、PIM はクラウド ID の特権制御です
- D. Excel ライセンス管理: ライセンス管理は Microsoft 365 管理センターの役割で、PIM とは別機能です
解説
【正解: A】の理由
Entra ID Protection は Entra ID Premium P2 の機能で、AI と Microsoft Threat Intelligence (毎日 8 兆超のシグナル) でサインイン リスクとユーザー リスクをリアルタイム評価します。Conditional Access と連携し、リスク レベルに応じて MFA 要求 / ブロック / パスワード強制リセットを自動実行します。
【他選択肢が違う理由】
- B. 物理セキュリティ カードの発行: ID Protection はクラウド上のリスク評価で、物理カード発行とは無関係です
- C. CCTV カメラ設置: CCTV は物理セキュリティの領域で、ID リスク評価とは別カテゴリです
- D. 廃止サービス: ID Protection は現役で運用される重要サービスのため、廃止扱いは誤りです
解説
【正解: A】の理由
Microsoft Entra External ID の B2B コラボレーションは、パートナーやサプライヤーのユーザーをゲスト招待して Microsoft 365 やカスタム アプリへアクセスさせる仕組みです。B2C は消費者向けアプリのサインアップ / サインイン / プロファイル管理を提供し、SNS ログインやカスタム ブランディングが可能です。
【他選択肢が違う理由】
- B. 同義で置換可能: B2B はパートナー、B2C は一般消費者と用途が全く異なるため、同一視できません
- C. 両者とも社内専用: B2B / B2C はいずれも外部 ID 対象で、社内専用は誤りです
- D. 両者とも内部ユーザー専用: External ID は外部 ID 管理が前提のため、内部専用とする説明は誤りです
次の各ステートメントについて、Microsoft Entra ID / Identity セキュリティに関する記述として正しい場合は「はい」、誤っている場合は「いいえ」を選択してください。
注: 正解 1 つにつき 1 点が与えられます。
| ステートメント | はい | いいえ |
|---|---|---|
Microsoft Entra Conditional Access では、ユーザーがリスクの高い地理から異常なログインを試みた場合、自動で MFA を要求できる。 正しいです。Conditional Access は Identity Protection のサインイン リスク シグナル (匿名 IP / 異常な地理 / 漏洩クレデンシャル等) を受け取り、リスク レベルに応じて MFA 要求 / ブロック / セッション制御を自動適用できます。 | ||
Microsoft Entra MFA で SMS は最も安全な認証方式である。 誤りです。SMS は SIM スワッピングや SS7 脆弱性により本番非推奨です。Microsoft は Authenticator アプリ (番号一致) / FIDO2 セキュリティ キー / Windows Hello for Business を推奨し、いずれもフィッシング耐性が高くなります。 | ||
Microsoft Entra Privileged Identity Management (PIM) では、管理者ロールを常時保持できる。 誤りです。PIM の本質は Just-In-Time 昇格で、必要な時のみ申請 / 承認 / 一定時間有効化する仕組みです。常時保持は最小権限原則に反するため、Eligible 割り当てが推奨されます。 |