多層防御 たそうぼうぎょ
簡単に言うとこんな感じ!
お城の守りをイメージして!堀・城壁・門番・天守閣……って何重にも防線を張るでしょ?IT セキュリティも同じで、1か所破られても次の防御が止めてくれる「何重もの盾」を用意する考え方が多層防御だよ!
多層防御とは
多層防御(Defense in Depth)とは、サイバー攻撃に対してセキュリティ対策を「複数の層」に重ねて配置することで、1つの防御が突破されても別の防御が攻撃を食い止められるようにする考え方です。英語では「縦深防御」とも訳され、もともとは軍事戦略に由来しています。
重要なのは「完璧な防御は存在しない」という前提に立っていること。どんなに高性能なセキュリティ製品でも、設定ミス・ゼロデイ脆弱性・内部不正などで突破されるリスクはゼロにできません。だからこそ、1つの対策が失敗しても被害を最小化できるよう、複数の独立した防御ラインを組み合わせるわけです。
情報システムの発注・選定をする立場では「セキュリティ製品を1つ入れれば安心」という考えは危険です。多層防御の視点で「どの層をどの製品・ルールでカバーするか」を体系的に考えることが、現代の標準的なセキュリティ設計となっています。
多層防御の構造と各層の役割
代表的な防御層を「外側→内側」の順に整理すると以下のとおりです。
| 層 | 防御の対象 | 代表的な対策例 |
|---|---|---|
| ネットワーク境界 | 外部からの不正アクセス | ファイアウォール、IPS/IDS |
| 通信の暗号化 | 盗聴・改ざん | TLS/SSL、VPN |
| エンドポイント | 端末へのマルウェア感染 | ウイルス対策ソフト、EDR |
| アプリケーション | Webアプリへの攻撃 | WAF、入力値チェック |
| アイデンティティ | 不正ログイン・なりすまし | 多要素認証(MFA)、SSO |
| データ | 情報漏えい・改ざん | 暗号化、バックアップ |
| 監視・検知 | 侵害の早期発見 | SIEM、ログ監視 |
覚え方:「ネット・暗・エンド・アプリ・アイデン・データ・監視」
「ネ暗エンアプアイデ監(ねくらえんあぷあいでかん)」と一音ずつ取ると7層を順番に思い出しやすいです。完璧な語呂ではないですが、「自社の対策が何層目まで届いているか」を棚卸しするときのチェックリストとして使えます。
縦深(じゅうしん)の深さが大切
多層防御で重要なのは、各層が互いに独立していること。同じベンダーの製品だけで固めると、そのベンダーの脆弱性が一気に全層に影響します。「ゾーンを分ける」「製品を組み合わせる」「技術的対策+人的対策を混在させる」などで独立性を高めるのがポイントです。
歴史と背景
- 1990年代前半 — インターネット商用化とともにファイアウォールが普及。「境界で守れば安全」という境界防御モデルが主流に。
- 2000年代 — SQLインジェクション・フィッシング詐欺など、境界を通過した攻撃が急増。境界防御だけでは不十分という認識が広まる。
- 2003年 — 米国国家安全保障局(NSA)が Defense in Depth の概念をドキュメント化し、多層防御を公式な指針として推奨。
- 2010年代 — クラウド・スマートフォンの普及で「社内ネットワーク=安全」という前提が崩壊。多層防御の重要性がさらに高まる。
- 2020年代 — ゼロトラスト(何も信頼しない設計)の考え方が台頭し、多層防御と組み合わせたアーキテクチャが業界標準に。ランサムウェア被害の急増もあり、バックアップや検知層の重要性が再評価されている。
多層防御とゼロトラストの関係
多層防御とゼロトラスト(Zero Trust)はよく同時に語られます。それぞれの考え方と役割を整理しましょう。
| 観点 | 多層防御 | ゼロトラスト |
|---|---|---|
| 基本思想 | 何重もの防壁で被害を局限化 | 「常に疑う」前提でアクセス制御 |
| 主な対象 | ネットワーク全体の設計 | アイデンティティ・認証の設計 |
| 生まれた背景 | 軍事の縦深防御概念から | クラウド・リモートワーク時代の課題から |
| 関係性 | ゼロトラストは多層防御の一形態 | 多層防御を実現する手段の1つ |
2つは「対立」ではなく「補完関係」にあります。以下のSVG図は、多層防御の7層をどのゾーンでどのように守るかを視覚化したものです。
関連する規格・RFC
| 規格・文書 | 内容 |
|---|---|
| NIST SP 800-53 | 米国国立標準技術研究所によるセキュリティ管理策カタログ。多層防御を体系化した代表的なフレームワーク |
| ISO/IEC 27001 | 情報セキュリティ管理システム(ISMS)の国際規格。多層防御の考え方を実装するための管理策を定義 |
| NSA Defense in Depth(2003) | NSAが公表した多層防御ガイド。現代の多層防御概念の原典の1つ |
| NIST SP 800-207 | ゼロトラストアーキテクチャの定義。多層防御との組み合わせ方を解説 |
関連用語
- ファイアウォール — ネットワーク境界でパケットを制御する防御装置。多層防御の最外層を担う
- エンドポイントセキュリティ — PC・スマートフォンなど端末レベルでの防御対策
- WAF(Web Application Firewall) — Webアプリへの攻撃を検知・遮断するアプライアンスまたはサービス
- ゼロトラスト — 「すべてを疑う」前提でアクセス制御を行う現代的なセキュリティモデル
- SIEM — 複数システムのログを集約・分析し、脅威を早期検知する監視基盤
- 多要素認証(MFA) — パスワード以外の認証要素を組み合わせて不正ログインを防ぐ仕組み