ディフェンス・イン・デプスとは？ サイバーセキュリティ戦略

ディフェンス・イン・デプスの概要

これは情報セキュリティの手法の一つで、最低一つの防御が確実に機能するよう設計されています。複数の対策に加え、サイバー脅威に即対応するための追加の安全層が特徴です。 

この安全対策の考え方は、サイバー上の穴を初期段階で見つけ出し、被害を可能な限り小さくするために存在します。その適用範囲は広く、ハードウェア、ソフト、そして人に関する脆弱性にも対応します。 

組織は様々なサイバートラブルに見舞われる可能性があるため、データ、リソース、アプリ、ネットワークが攻撃や乗っ取りを受けないよう、複数の安全対策を講じることが賢明です。

ユースケース 

ディフェンス・イン・デプス（DiD）の原則は、アンチスパムツール、WAF、アンチウイルスソフトなどの対策を一つにまとめ、XSSや CSRF といった脅威を防ぐ、広く用いられているサイト守りの戦略です。 

ネットワークの安全対策の場合、ファイアウォール、暗号化、ISPなどが用いられて通信をフィルタリングし、アクセスを制限します。ネットワーク管理者であれば、これらの対策に精通していることでしょう。DiDでは、これらを組み合わせて使用します. 

なぜディフェンス・イン・デプスが重要なのか

サイバー攻撃が成功すると大きな被害をもたらすため、専門家は複数の対策を講じることを推奨します。一つの手段だけでは、あらゆる攻撃や危険に対処するには不十分です。 

DiDの概念を用いれば、システムに複数のサイバーセキュリティ対策を導入し、セキュリティの穴や脅威の侵入の可能性をほぼ排除することが可能です。

もし一つの対策が万が一失敗しても、別の対策が働いて資源を守ります。このため、DiD採用時はネットワーク安全性が向上し、冗長性が確保されます。

ディフェンス・イン・デプス セキュリティアーキテクチャ

DiDの基本構造について説明する前に、各組織のニーズが異なるため、標準の形式は存在しないことを知っておくことが重要です。それでも、各構造には以下の項目が一つ以上含まれている場合があります。

• 技術的対策
  

この対策は、ソフトウェアやハードウェアの機能を活用し、DDoS攻撃、データ流出などの脅威を防ぎます。ファイアウォール、WAF、セキュアウェブゲートウェイ、IDS/IPS、EDRソフト、アンチマルウェアソフトなどが利用されます。

• 物理的対策
  

これらは、ITシステム、データセンター、物理資産を、データ盗難、改ざん、不正アクセスなどの危険から守ることを目的としています。アクセス制御、警報システム、IDスキャナー、監視手法などが含まれます。

• 管理的対策
  

管理的対策とは、内部のシステムやリソースを守るため、セキュリティチームや管理者が定める安全ポリシーのことです。

安全性を向上させたい場合は、アクセス対策、境界防御、脅威情報、監視・予防、作業端末の防御などを追加し、体制を強化することができます。 

ディフェンス・イン・デプスはどのように役立つのか

この手法を用いることで、複数の安全対策を実施し、データ流出の可能性を低減できます。多くの場合、一つの防御層だけでは全体を守るには不十分です。

例えば、ハッカーがクラウドWAFなどの対策を回避してネットワークに侵入した場合でも、DiDは速やかで適切な対策が講じられるようにします。 

この迅速な対応により、差し迫った危険や将来の脅威が防がれます。さらに、24時間体制の安全システムを稼働させ、資源を守ることも可能です。

多くの防御層が働くため、攻撃者は侵入に多大な労力と時間を要します。攻撃者は、データやリソース、ネットワークに触れる前に数多くの対策を突破しなければならず、その結果、気力を失い、攻撃を断念することもあります。 

ディフェンス・イン・デプスとレイヤードセキュリティの違い

DiDとレイヤードセキュリティは基本的な部分で共通点がありますが、明確な違いも存在します。ここでは、基本的なレイヤードセキュリティとディフェンス・イン・デプスの比較を紹介します。 

例えば、レイヤードセキュリティは特定の安全課題を解決するために各種製品を組み合わせますが、ディフェンス・イン・デプスは複数の脅威に同時に対応します。 

レイヤードセキュリティで使用される製品は同じカテゴリに属し、同様の役割を果たすことが多いですが、ディフェンス・イン・デプスでは複数の製品や対策が組み合わされます。

ディフェンス・イン・デプス（DiD）の要素

システムの脆弱性から守るため、DiD戦略は様々な提案を行います。物理的対策、技術的対策、管理的対策が必要です。以下は、IT環境を徹底的に守るための主要な要素です：

1. サイバーセキュリティに関する教育

ネットワークをどれだけ守っていても、端末が安全でなければ侵入される恐れがあります。デジタル環境の人に関する端末が安全でなく、脅威や対策について知らなければ、どんな努力も水の泡となります。

DiDの一環として、Wallarmは従業員向けにISATの導入を検討することをお勧めします。これにより、意識が高く賢明な人材が育ち、企業のサイバー耐性が向上します。

この研修は、企業利用者のインターネットセキュリティ意識を向上させるためのものです。講座内容は、一般的な脅威の見抜き方、重要な組織データの守り方、そして攻撃が業務に与える悪影響について学ぶ点で、あらゆる規模の企業に有用です。

2. 効率的なアクセス管理機構

組織の安全性を高めるため、必要な者だけが資源へアクセスできるよう、かつ必要な期間のみ許可する仕組みが求められます。POLPも同様の考え方を示しています。 

そのため、役割や属性に基づく権限付与を採用することが可能です。これにより、管理者やネットワーク利用者の権限の乱用を防ぎ、不要なユーザーが侵入するのを防止します。

3. アンチウイルスとファイアウォール

サイバー脅威から守るためには、ウイルスフィルタとファイアウォールが不可欠です。これら2つの要素により、デバイスがトラブルに巻き込まれるのを防ぎます。

例えば、優れたアンチウイルスはマルウェア、アドウェア、盗聴、トロイの木馬、DDoS、ワームなどの侵入から守ります。一方、ファイアウォールは、良好な通信に紛れてくる脅威からネットワークを守ります。

4. パスワードの管理と保護

パスワードに関しては、さまざまな点に配慮する必要があります。 

全てのパスワードを強固に保つこと、信頼できるパスワードマネージャで保存すること、信頼性の高い認証方式（例えば2FA）を導入し、効率的なアルゴリズムで暗号化/ハッシュ化するなど、あらゆる面で手を抜くことはできません。さらに、生体認証データを使用する場合は、安全なデータベースに保管する必要があります。

5. 侵入防止システム (IPS)

ネットワーク内の通信監視、不正侵入の防止、そして悪意ある行為者の早期検出は、組織に対するサイバー脅威の影響を最小限に抑えるための重要な対策です。また、セキュリティの穴やAPIの脆弱性を発見することも大切です。したがって、IPSが不可欠となります。

信頼性のあるIPSツールは、ネットワーク通信の遮断、脅威の通知、接続のリセット、不審なデータパケットの破棄などを行い、ネットワークをしっかり守ります。機械学習対応のソリューションは、新たな脅威を学習し、徐々に効果を高めることが可能です。

6. ネットワークの分割

全てが中央で管理される大規模なネットワークは、1つの安全でない端末が全体のリスクにつながる可能性があるため、特に注意が必要です。これを防ぐため、複数のサブネットを設計し、それぞれに異なる安全対策を講じることが重要です。また、コスト管理の面でも有利です。

7. パッチ管理

多くのサイバー犯罪者は、更新されずパッチが適用されていないアプリを狙います。脆弱性のあるソフトは悪用されやすいのです。実際、2020年だけでも、全体の20%以上の侵害が旧式のシステムやハードウェアに起因して発生しました。そのため、確実なパッチ管理体制が必要です。

8. APIの安全対策 

企業では見落とされがちなAPIの保護は、ネットワークの完全な安全を考える上で極めて重要です。DevSecOpsプラットフォームであるWallarmの活用は、その助けとなります。SOAPまたはREST、graphQL、gRPC APIに対するDDoS攻撃やボットの侵入を防ぐ、即時の脅威検出機能が非常に有用です。

ディフェンス・イン・デプスで用いられる一般的な安全対策

潜在的リスクを早期に抑えるため、いくつかの戦略的かつ実効性のある対策が求められます：

最小権限アクセス: ユーザーアクセスを厳格に管理し、必要に応じたシステムや資源へのアクセス権を設定することで、不正アクセスのリスクを低減します。 

MFA: MFA、すなわち多要素認証は、各種認証プロセスを組み合わせ、ユーザーの身元を確認して許可されたアクセスのみを認める有効な対策です。通常、強固なパスワードとOTPを用いたログイン方式が採用されます。 

ネットワーク分割: 内部システム、データ、第三者やベンダーのアクセスを限定することで、リスクの露出を抑えます。たとえば、外部と内部で別々の無線ネットワークを用いるなどの対策が、マルウェアの拡散防止、データ規制の遵守、内部からの脅威の封じ込めに有効です。 

行動分析: 通信の挙動を既定の基準と比較し、異常な動きや脆弱性を監視します。基準に満たない場合は異常と判断し、適切な対応が取られます。 

ゼロトラスト も、ディフェンス・イン・デプスの考え方において非常に有名で国際的に認識されている対策です。上記やその他の概念を組み合わせ、ゼロトラストの安全体制を実現します。 

暗号化: 悪意あるソフトや者から重要なデータを守るために用いられます。 

‍

Wallarmのディフェンス・イン・デプスソリューション

Wallarmは、アプリや資源を守るための多彩な安全対策を提供しており、それらを組み合わせることで、サイバー脅威や脆弱性の侵入を事実上不可能にします。これにより、企業の資源はあらゆる手段で守られます。

企業のニーズに合わせ、Wallarmは主要な要素を含む詳細なディフェンス・イン・デプス戦略を提供します：

• APIセキュリティプラットフォーム
• DDoS攻撃防御
• MFA
• Cloud WAF
• API脅威防止
• セキュリティテスト - GoTestWAF
  

これらを効果的に組み合わせたWallarmのディフェンス・イン・デプス戦略は、様々なサイバー脅威を防ぎ抜きます。