CyberFix Note
防御・ハードニング

多層防御で一つの対策が破られても全体を守る考え方

対象の目安: これから学ぶ人 / 入門

アオイ防御・運用担当
・ 約10分で読めます
多層防御で一つの対策が破られても全体を守る考え方

セキュリティ対策を一つだけ強化しても、その一つが破られた瞬間に攻撃は内部まで通ってしまいます。ファイアウォールだけ、ウイルス対策ソフトだけ、というように単一の防御に頼る構成では、その防御をすり抜ける手口が一つ見つかれば全体が無防備になります。多層防御は、性質の異なる防御を重ね、どこか一つが破られても次の層で止められるようにする考え方です。本記事は、なぜ一つでは足りないのかを示したうえで、代表的な層と各層の対策、ゼロトラストとの関係、層を増やしても残る注意点を入門者向けに整理します。

なぜ単一の対策では守りきれないのか

単一の対策に頼る構成の弱点は、その対策が単一障害点になることです。単一障害点とは、そこが一つ壊れるだけで全体が機能しなくなる箇所を指します。たとえば境界のファイアウォールだけで守る構成では、利用者がフィッシングメールの添付ファイルを開いて内部から不正な通信が始まった場合、入口を守る装置はその動きを止められません。守る範囲がもともと入口に限られているためです。

攻撃が一つの手口だけで完結しないことも、単一の対策では足りない理由になります。実際の侵入は、初期侵入、内部での侵入拡大、権限の奪取、データの持ち出しといった複数の段階を踏んで進みます。ある一つの対策が止められるのは、このうち特定の段階に限られます。入口の対策をすり抜けられても、内部で異常な通信を検知できれば次の段階で止まりますが、内部に検知の層がなければ攻撃はそのまま進みます。

ここから導かれるのが、性質の異なる防御を複数重ねるという発想です。NISTの用語集は多層防御(defense in depth)を、複数の防御層を設ける考え方として整理しており、人と技術と運用を組み合わせて層状の障壁を築く定義と、異種の技術を層状または段階的に適用し一つの技術が見逃した攻撃を別の技術で捕らえる定義の両方を挙げています。いずれも、守る対象も検知する観点も異なる層を重ねることで、一つの層をすり抜けた攻撃を別の層が捕らえる余地を作る、という発想を共有しています。

多層防御が単一障害点をなくし各段階で止める仕組み

多層防御が効くのは、二つの異なる機構が働くからです。一つは、どこか一つの層が破られても、それが全体の侵害に直結しにくくする冗長化です。性質の違う層を重ねておけば、ある層を破る手口が見つかっても、その手口が次の層にも同じように通用するとは限りません。攻撃者は層ごとに別の壁を越える必要が生じ、すべてを越える手間が守りの厚みになります。

もう一つの機構は、攻撃の各段階に止める機会を配ることです。入口で防ぎ、内部の移動を妨げ、端末で実行を止め、データを読めなくし、流出に気づくというように、進行の各段階に対策を置けば、どこか一段階で止まれば被害は手前で食い止められます。一つの段階を見逃しても次の段階が残るため、攻撃を止められる機会が増え、攻撃者の手間と発見される可能性が高まります。ただし各層が独立に効くとは限らず、設定の誤りや共通の原因で複数の層が同時に無効になることもあるため、層を増やすこと自体が安全を保証するわけではありません。

この二つは、守る場所を増やすことと、止める時点を増やすことに対応します。前者は同じ段階に重ねた層の厚みであり、後者は段階をまたいで配置した層の連なりです。両方を組み合わせると、攻撃者は複数の壁を、しかも複数の段階で越え続けなければならなくなり、途中で検知され対処される可能性が高まります。

メモ

多層防御は、攻撃を完全に防ぐためではなく、いずれ何かはすり抜けるという前提に立って、すり抜けたものを止め、被害を抑え、早く気づくための設計です。完璧な単一の壁を目指すのではなく、失敗が起きても致命傷にならない構造をつくる発想だと理解すると見通しが立ちます。

代表的な防御層とそれぞれの対策

多層防御の層は、攻撃が通る経路に沿って整理すると把握しやすくなります。境界からデータまで、そして人を加えた区分ごとに、何を守りどの段階に効くのかを次の表にまとめます。各層は単独で完結せず、前後の層と組み合わせて初めて厚みになります。

主な対策の例効く段階
入口(境界)ファイアウォール、不正侵入検知や防御、メールやWebのフィルタリング外部からの初期侵入を入口で絞る
ネットワーク内部ネットワークのセグメント分割、内部通信の監視、最小権限のアクセス制御すり抜けた後の内部での侵入拡大を妨げる
エンドポイントEDRやウイルス対策、OSとソフトウェアの更新、不要な機能の無効化端末上での不正な実行を検知して止める
アプリケーション入力値の検証、認証と認可、WAF、脆弱性の修正アプリの欠陥を突く攻撃を防ぐ
データ暗号化、アクセス権の制限、バックアップ漏えい時の被害を抑え、破壊からの復旧を可能にする
セキュリティ教育、不審なメールの報告手順、訓練人をだます攻撃に気づき、被害の起点を減らす

入口とネットワーク内部の層は、攻撃が外から中へ進む流れを段階的に絞る役割を持ちます。境界で防ぎきれなかった通信も、内部をセグメントに分けて区切っておけば、侵入した端末から他の区画へ移る動きが制限されます。アクセス制御で各利用者やシステムに必要最小限の権限だけを与えておけば、一つの認証情報が奪われても届く範囲が狭くなります。

エンドポイントとアプリケーションの層は、攻撃が実際に動く場所で止める役割を担います。端末にEDRやウイルス対策を置けば、すり抜けて到達した不正なプログラムの実行を検知できます。OSやソフトウェアを更新し、アプリ側で入力値を検証しておけば、既知の欠陥を突く手口の足場を減らせます。データの層は最後の砦で、暗号化しておけば持ち出されても内容を読まれにくく、バックアップがあれば暗号化型の攻撃で書き換えられても復旧の道が残ります。これらの技術的な層を支えるのが人の層であり、利用者が不審なメールに気づき報告できれば、起点そのものを減らせます。IPAの中小企業向けガイドラインも、バックアップを含む基本的な対策を段階的に重ねる方針を示しています。

多層防御とゼロトラストの関係

ゼロトラストは、多層防御と対立する別物ではなく、層の信頼の前提を見直す考え方です。従来の境界型は、境界の内側に入った通信を暗黙に信頼しがちでした。これに対しゼロトラストは、内部か外部かにかかわらず暗黙の信頼を置かず、アクセス要求が来るたびに検証するという立場をとります。NISTはゼロトラストを、資産やアカウントに対する暗黙の信頼をなくし、要求ごとに最小権限での正確なアクセス判断を下すための考え方の集合と整理しています(NIST SP 800-207)。

ゼロトラストはそれ自体が一つの設計原則であり、多層防御に取り込むこともできます。両者の関係は、多層に重ねた各層の検証を厳しくする役割をゼロトラストが担うと捉えると整理できます。多層防御が層を重ねること自体を指すのに対し、ゼロトラストは内部の層であっても無条件に通さず、利用者や端末の状態を毎回確かめる原則です。境界を越えた通信を内部で信頼しきらず、要求ごとに認証と認可を求めることで、内部での侵入拡大を狙う攻撃に対する各層の検証が強まります。CISAも、ゼロトラストを境界に依存しない継続的な検証の枠組みとして位置づけています。

両者を「同じ」と単純化することも、「正反対」とみなすことも正確ではありません。多層防御は複数の層を重ねる広い設計の方針であり、ゼロトラストはその層の通し方を厳しくする原則です。多層に層を重ねた構成の上で、各層の信頼判断をゼロトラストの原則で行えば、内部に入られても自動的には先へ進ませない守りになります。

あわせて読みたい

ゼロトラストを最小コストで取り入れる。考え方とID中心の段階導入

層を重ねても残る注意点

多層防御は守りの土台になりますが、層を増やせば必ず安全になるわけではありません。各層が想定どおりに働くのは、正しく設定され、運用され続けている場合に限られます。ファイアウォールの許可ルールが緩すぎたり、EDRの警告が見られないまま放置されたり、バックアップから実際には復元できなかったりすれば、その層は数の上では存在しても、止める力を持ちません。

運用が追いつかないまま層だけを増やすと、かえって弱くなる場合もあります。層が増えるほど設定項目や監視対象や更新作業は増え、見落としや設定ミスの起きる箇所も増えます。限られた人手で多くの層を抱えると、どの警告が重要かを判断しきれず、本当に危険な兆候が他の通知に埋もれることもあります。層の数そのものより、各層が確実に機能し続けることのほうが守りを左右します。

ここから、層を選ぶ際にはコストとのつり合いを見ることが現実的な指針になります。守るべき資産の重要度に対して、追加する層の運用負担が見合うかを見極め、まず単一障害点になりやすい箇所から重ねていくのが手順です。多層防御は、すべてを最高水準で固めることではなく、限られた資源の中で失敗が致命傷にならない構造をつくることだと捉えると、優先順位を立てやすくなります。

多層防御を組み立てる進め方

  1. 1

    守るべき資産と、それが失われたときの影響の大きさを洗い出す

  2. 2

    現状の対策を入口、内部、端末、アプリ、データ、人の層に当てはめ、層が薄い段階を見つける

  3. 3

    単一障害点になりやすい箇所から、性質の異なる層を一つずつ重ねる

  4. 4

    各層が想定どおり動くか、設定と検知とバックアップからの復元を実際に確認する

  5. 5

    運用負担と資産の重要度のつり合いを見ながら、層の追加と見直しを続ける

多層防御の基本チェック

  • 入口だけでなく、内部、端末、データの各段階にも対策が置かれているか
  • 一つの認証情報や一台の端末が破られても、被害が一気に広がらない構成か
  • 各層の設定が緩すぎないか、警告が確認され対応されているか
  • バックアップから実際に復元できることを確かめているか
  • 層の運用負担が人手に見合い、放置された層がないか

多層防御の定義はNIST CSRC Glossary(defense-in-depth)を、ゼロトラストの定義と考え方はNIST CSRC Glossary(zero trust)およびNIST SP 800-207CISA Zero Trustを、基本対策の段階的な実施はIPA 中小企業の情報セキュリティ対策ガイドラインを参照しました。

各層の中身を一つずつ知りたい場合は、入口を担うファイアウォール、端末を含むシステムの堅牢化、データを守る前提となる三要素の記事もあわせて読むと、層の役割がつながって見えてきます。

あわせて読みたい

ファイアウォールが通信を許可と拒否で仕分ける仕組み

あわせて読みたい

サーバーのハードニング基礎。最小化・最小権限・更新・設定堅牢化をCISベンチマークから学ぶ

あわせて読みたい

情報セキュリティを機密性と完全性と可用性で整理する考え方

出典・参考

この記事をシェア

関連する記事

防御・ハードニング

ファイアウォールが通信を許可と拒否で仕分ける仕組み

ファイアウォールが送信元やあて先の情報をもとに通信を許可するか拒否するかを判断する仕組みを、パケットフィルタリングからステートフルインスペクション、次世代ファイアウォールへの進化とともに整理します。アプリケーション層を守るWAFとの守備範囲の違いや、家庭と組織での位置づけと限界も説明します。

防御・ハードニング

トラベルルーターの選び方。公衆Wi-Fiの手前に自分専用のネットワークを作る小型ルーターの効果と限界

ホテルや空港の公衆Wi-Fiに端末を直接つながず、自分専用のWi-Fiに収容するトラベルルーターの仕組みと限界を整理します。VPNクライアント対応や対応規格、WANモード、電源を軸に、誇大広告に流されない選び方を出張の多い個人向けにまとめます。