多層防御(Defense in Depth)
多層防御(Defense in Depth) とは何ですか?
多層防御(Defense in Depth)独立した対策を層状に重ね、単一の対策が破られても他の層が予防・検知・封じ込めを続けられるようにするセキュリティ戦略。
多層防御は元々軍事ドクトリンで、現代では人・プロセス・技術にわたって多様で部分的に冗長な対策を重ねます。典型的な層は、境界(ファイアウォール、WAF、DDoS 対策)、ネットワーク(セグメント化、IDS/IPS)、エンドポイント(EDR、ハードニング)、アプリケーション(入力検証、CSP、SAST/DAST)、ID(MFA、最小権限)、データ(暗号化、DLP)、監視(SIEM、SOC)、復旧(バックアップ、IR)です。単一対策は完璧ではない、という前提に立ち、層を重ねることで攻撃者のコストを上げ、他の層を抜けた侵入を別の層で捕捉する確率を高めます。層間の暗黙の信頼を問い直すゼロトラストと補完関係にあり、NIST CSF や ISO/IEC 27001 とも整合します。
● 例
- 01
ユーザーがフィッシングを開いた場合:セキュアメールゲートウェイ、SmartScreen、EDR、FIDO2 MFA、最小権限、SIEM がそれぞれ独立した防衛線になる。
- 02
スナップショット、オフライン保管、変更不可な WORM など多層バックアップがランサムウェアによる本番停止後も復旧を支える。
● よくある質問
多層防御(Defense in Depth) とは何ですか?
独立した対策を層状に重ね、単一の対策が破られても他の層が予防・検知・封じ込めを続けられるようにするセキュリティ戦略。 サイバーセキュリティの コンプライアンスとフレームワーク カテゴリに属します。
多層防御(Defense in Depth) とはどういう意味ですか?
独立した対策を層状に重ね、単一の対策が破られても他の層が予防・検知・封じ込めを続けられるようにするセキュリティ戦略。
多層防御(Defense in Depth) はどのように機能しますか?
多層防御は元々軍事ドクトリンで、現代では人・プロセス・技術にわたって多様で部分的に冗長な対策を重ねます。典型的な層は、境界(ファイアウォール、WAF、DDoS 対策)、ネットワーク(セグメント化、IDS/IPS)、エンドポイント(EDR、ハードニング)、アプリケーション(入力検証、CSP、SAST/DAST)、ID(MFA、最小権限)、データ(暗号化、DLP)、監視(SIEM、SOC)、復旧(バックアップ、IR)です。単一対策は完璧ではない、という前提に立ち、層を重ねることで攻撃者のコストを上げ、他の層を抜けた侵入を別の層で捕捉する確率を高めます。層間の暗黙の信頼を問い直すゼロトラストと補完関係にあり、NIST CSF や ISO/IEC 27001 とも整合します。
多層防御(Defense in Depth) からどのように防御しますか?
多層防御(Defense in Depth) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
● 関連用語
- compliance№ 167
CIA トライアド
情報セキュリティの基本モデル。目標を「機密性」「完全性」「可用性」の 3 つに集約する。
- identity-access№ 854
最小権限の原則
ユーザー・プロセス・サービスに対し、その業務に厳密に必要な権限だけを付与し、それ以上は与えないというセキュリティ原則。
- compliance№ 936
リスクマネジメント
リスクを特定・分析・評価・対応・監視・伝達し、組織が定めた許容範囲内に維持するための調整されたプロセス。
- compliance№ 731
NIST サイバーセキュリティフレームワーク
米国 NIST が公開した任意のリスクベース フレームワークで、サイバーセキュリティの成果を 6 つのコア機能に整理する。
● 関連項目
- № 994隠蔽によるセキュリティ(Security by Obscurity)
- № 071アタックサーフェス
- № 1048単一障害点(SPOF)