多層防御とは、ネットワークを保護するために、複数の製品や実践を用いるサイバーセキュリティ戦略のことを指します。
この記事を読み終えると、以下のことができるようになります。
関連コンテンツ
是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!
記事のリンクをコピーする
「多層防御」(DiD)とは、複数のセキュリティ製品や手法を駆使して、組織のネットワーク、Webプロパティ、リソースを保護するサイバーセキュリティ戦略のことです。これは、攻撃者が保護されたネットワークやオンプレミスのリソースに到達するのを防ぐための、物理的、技術的、管理的な複数の制御層におけるセキュリティソリューションによるものであるため、「階層型セキュリティ」という用語と同じ意味で使用されることがあります。
元来、多層防御とは防衛線の一つを犠牲にして敵の戦力を足止めする軍事戦略を表したものです。名称は似ていますが、複数の製品を連携させて攻撃者やその他の脅威を寄せ付けないというこのアプローチのセキュリティ戦略とは似て非なるものです。
多層防御戦略の指針は、単一のセキュリティ製品では、対峙する可能性のあるあらゆる攻撃からネットワークを完全に保護することはできないという考え方です。一方で、複数のセキュリティ製品およびセキュリティ対策を導入することで、発生した攻撃を検知・防御して、さまざまな脅威を効果的に軽減することができます。このアプローチは、組織がネットワーク、システム、およびユーザーの規模を拡大するにつれて、ますます重要になります。
階層型セキュリティのもう一つの利点に、冗長性があります。外部からの攻撃によって防衛線の一部が破壊されたり、内部脅威によって組織のネットワークの一部が侵害された場合でも、他のセキュリティ対策によってネットワーク全体への被害を限定的なものにして、軽減することができます。これに対して、1つのセキュリティ製品だけを使用した場合、それが単一障害点となり、その製品が侵害された場合、ネットワーク全体またはシステム全体の侵害または破壊に繋がる可能性があります。
多層防御戦略は組織のニーズや利用可能なリソースによって異なりますが、一般的に以下のカテゴリの製品を1つ以上使用します:
物理的なセキュリティ管理は、ITシステム、企業の建物、データセンター、その他の物理的な資産を、改ざん、盗難、不正アクセスなどの脅威から保護します。これには、さまざまなタイプのアクセス制御や、監視カメラ、警報システム、IDカードスキャナー、生体認証セキュリティ(指紋読取装置、顔認証システム等)などの監視方法が含まれます。
技術的なセキュリティ制御は、データ漏えい、DDoS攻撃、その他ネットワークやアプリケーションを標的とする脅威を防ぐために必要なハードウェアとソフトウェアを包含しています。この層における一般的なセキュリティ製品には、ファイアウォール、セキュアWebゲートウェイ(SWG)、侵入検知または防御システム(IDS/IPS)ブラウザの分離技術、エンドポイント検知および応答(EDR)ソフトウェア、データ損失防止ソフトウェア(DLP)、Webアプリケーションファイアウォール(WAF)、マルウェア対策ソフトウェア等があります。
管理的なセキュリティ制御は、システム管理者やセキュリティチームが設定する、社内システム、企業リソース、その他の機密データやアプリケーションへのアクセスを制御するポリシーを指します。また、ユーザーが適切なセキュリティハイジーンを実践し、データの機密性を保持し、システム、デバイス、およびアプリケーションを不必要なリスクにさらすことを避けるためのセキュリティ意識向上トレーニングも含まれることがあります。
セキュリティ製品やポリシーに加えて、組織はネットワークやリソースに対するリスクを抑えるために強力なセキュリティ対策を実施する必要があります。これには、次のようなものがあります。
最小特権アクセスは、ユーザーに対し、その人の役割に必要なシステムやリソースにのみへのアクセス権を付与するという原則です。これにより、ユーザーの資格情報が漏えいし、権限のないユーザーが攻撃を仕掛けたり機密データへのアクセスを試みた場合に生じるネットワークの他の部分へのリスクを最小限に抑えることができます。
多要素認証(MFA)は、その名前が示すように、ネットワークやアプリケーションへのアクセスを許可する前に、ユーザーの身元やデバイスの固有情報を確認するための複数の認証形式を要求するものです。MFAには通常、強力なパスワードハイジーン(複雑で推測が難しく、頻繁に変更されるパスワードなど)の実践、デバイスの厳格な管理方法の確立、外部デバイスやツールによる本人確認(モバイル端末からの確認コードの入力など)が含まれます。
暗号化は、機密データが、権限のない、または悪意のある第三者にさらされないように保護します。平文(人間が読める情報)を暗号文(ランダムに生成された文字、数字、記号の組み合わせ)に変換することで、情報を隠蔽します。
ネットワークセグメンテーションは、ベンダー、請負業者、その他の外部ユーザーによる内部システムやデータをさらす行為を制限するのに役立ちます。たとえば、内部ユーザーと外部ユーザーに対して別々の無線ネットワークを設定することで、組織は機密情報を不正な第三者からより硬く保護することができます。また、ネットワークセグメンテーションは、セキュリティチームが内部脅威を封じ込め、マルウェアの拡散を制限し、データ規制を遵守する上でも役立ちます。
行動分析は、異常なトラフィックパターンや攻撃の発生をいち早く検知するのに役立ちます。これは、ユーザーの行動を、過去に観察された正常な行動の基準値と比較することによって行われます。異常があれば、セキュリティシステムがトリガされて悪意のあるトラフィックがリダイレクトされ、攻撃の実行を阻止することができます。
Zero Trustセキュリティは、上記の概念の多くを束ねたセキュリティ哲学で、脅威はすでにネットワーク内部に存在しており、どのユーザー、デバイス、接続もデフォルトで信頼されるべきではないという前提に立ったものです。
これらは、階層型セキュリティのアプローチで採用されるべき実践のほんの一部に過ぎません。既存のセキュリティ製品の脆弱性を突く攻撃の種類が進化し続ける中、それらに打ち勝つ新しい製品や戦略を開発する必要があります。
効果的な多重防御戦略には、階層型セキュリティ対策だけでなく、統合型セキュリティの実践も必要です。これらの用語は似ているように聞こえますが、微妙に異なる意味を含んでいます。
階層型セキュリティは、複数の販売者から調達された全身を保護する甲冑のようなものだと考えることができます。甲冑のパーツの中には、他よりも新しいものや高品質なものがある場合があります。これを着た者は多くの種類の物理的危害から守られていますが、甲冑のパーツの間に隙間があったり、攻撃に対してより脆弱な弱点があったりする場合があります。
これに対し、統合型セキュリティはカスタムメイドの甲冑のようなものだと考えることができます。さまざまなパーツ(セキュリティ制御)で構成されているかもしれませんが、それぞれが本質的に連携するように設計されており、隙間や弱点を残さず着用者を保護することができます。
ただし、サイバーセキュリティソリューションを構成する場合、単一のベンダーから複数のセキュリティ製品を購入しても、必ずしも統合型アプローチのメリットを享受できるとは限りません。このトピックの詳細については、「Webアプリケーションセキュリティの未来」をご覧ください。
Cloudflareの統合型セキュリティスイートは、他のセキュリティおよびパフォーマンス製品の知見を活かしながら、それらとシームレスに動作するように設計されています。例えば、Cloudflare Bot Managementは、それ自体で悪意のあるボットの活動を効果的にブロックしますが、Cloudflare WAFと組み合わせることで、さらなる機能を得ることができます。この機能により、お客様は自動化されていると見られるリクエストや他の識別子をトリガーするリクエストを動的にブロックすることが可能になります。
また、共有される脅威インテリジェンスは、Cloudflareの多層防御へのアプローチにおいて重要な要素でもあります。335ヶ所以上にまたがる広大なグローバルネットワーク上に数百万のインターネットプロパティを保有するCloudflareは、トラフィックパターンから洞察を得て、新たな脅威や今後発生する脅威に対する防御を向上することができます。