システム開発においてセキュリティを考慮する考え方としてシフトレフトが定着してきている。
開発を左から設計、構築、開発、運用と並べたときに左側からセキュリティを意識するというもの。

最小権限

ユーザーには必要最低限の権限しか与えない。
役職レベルに応じて権限を付与する必要はない。例えば、部長だからといって特権レベルの権限が必要かと言われると、
システム管理の業務を行わないのであれば付与する必要はない。

多層防御

多層防御の層は以下。

  • データ
  • アプリケーション
  • ホスト
  • 内部ネットワーク
  • 境界
  • 物理コントロール
  • ポリシー

フェールセーフ

データ漏洩を防止する一つとして、フェールセーフがある。
(システムが安全に故障するように設計すること)
フェールセーフは露出度の高いシステムを設計するのに有効。
しかし、人の安全性に配慮することも必要であり、機密データの漏洩よりも人命が最優先である。

職務の分離

機密性の高いプロセスを一人の人間で完結させない。
少なくとも、作業と検証は必要。
一人で全て完結できてしまうと、その個人が不正行為を行う可能性が高まってしまう。

シンプル性

シンプルな設計はテスト、検証が容易である。

ゼロトラスト

従来のセキュリティの考え方は社内、社外を境界として社内ネットワークは安全、社外は危険と捉えていたが、
ゼロトラストは境界をなくし、たとえ社内であっても信用せずに安全性を検証するという考え方。
社内ネットワークへの認証を始め、アプリを使用する際なども認証を行う。

プライバシーデザイン

システムの設計・開発段階でプライバシーの維持が考慮されていることを保証する手法。

問題

ゼロトラストの説明で正しいものはどれか

1.システム開発者が社内ネットワークに接続する際に、認証と認可を要求するセキュリティモデル

2.外部ユーザーが社内ネットワークに接続する際に、認証と認可を要求するセキュリティモデル

3.ベンダーが社内ネットワークに接続する際に、認証と認可を要求するセキュリティモデル

4.内部、外部のユーザーが社内ネットワークに接続する際に、認証と認可を要求するセキュリティモデル

ゼロトラストは全てのユーザーが対象である。

答えは4