ディフェンス・イン・デプス

深層防衛とは何か?

Defense in Depth(深層防衛)とは、ITセキュリティ戦略の一つであり、個々の防御的なセキュリティ対策では十分な保護が得られず、リスクを効果的に軽減するためには防御的なセキュリティ対策を重層化する必要があることを主張するものである。深層防護の原則はITセキュリティにとどまらず、悪意のある攻撃や自然災害から守るあらゆる種類のセキュリティ対策に適用される。

深層防御のアプローチは、相互に依存し合うハードウェアとソフトウェアで構成される複雑なIT環境におけるサイバーセキュリティ・リスクを全体的に低減することを目指すものである。Defense in Depth は、1つまたは複数のコンポーネントが侵害された場合でも、機密性、完全性、可用性に対して回復力のある IT セキュリティ・アーキテクチャを提供しようとするものです。

サイバーセキュリティのための深層防衛

Defense in Depthは、個々のセキュリティ管理またはセキュリティ管理の集合が侵害される可能性を想定しているため、セキュリティへの全体的なアプローチは、各資産をそのきめ細かなセキュリティ管理で保護することで補わなければならない。これは論理的な仮定である。トロイの木馬に感染したUSBデバイスがローカル・デバイスに差し込まれた場合や、フィッシング・メールが従業員のコンピュータへの最初のアクセスを獲得した場合など、サイバー攻撃者が内部システムをコントロールする可能性のあるシナリオは数多く考えられる。

ネットワーク・セキュリティに対する徹底的な防御アプローチ

ネットワーク・トポグラフィは通常、非武装地帯(DMZ)を含むネットワーク境界によって区切られた内部ネットワーク・ゾーンと外部ネットワーク・ゾーンとして概念化される。DMZは、パブリック・インターネット経由の不正アクセスから内部ネットワーク・リソースを保護すると同時に、正規のアクセスを許可する役割を担っています。境界防御は、次世代ファイアウォールや侵入検知防御システム(IDPS)などのセキュリティ・アプライアンスによってサポートされる。しかし、Defense in Depthは、ネットワーク境界防御によるセキュリティにもかかわらず、内部リソースが本質的に脆弱であることを前提としています。 

ネットワーク・セキュリティに対する「深層防御」のアプローチを形成するために、しばしば組み合わされるITセキュリティ管理には、次のようなものがある:

  1. すべての社内システムおよびクラウドシステムとデータに、強力な認証と厳格な最小特権権限を適用する。
  2. 内部ネットワークをVLANで分離し、機密性の高いシステムやデータを別のネットワークドメインに隔離する。
  3. 各デバイスにインストールされた証明書を必要とする公開鍵基盤(PKI)を使用するエンタープライズレベルの認証メカニズムを適用する。
  4. ファイアウォール、MACアドレスのアクセプトリスト、静的IPアドレス、IDSやIPS、コンテンツフィルタリング、URLブロック技術などのネットワークセキュリティのベストプラクティスを使用して、きめ細かい内部ネットワークセキュリティを実現する。
  5. 社内外のネットワークを通過するデータの機密性を保護するために暗号化を使用する。
  6. IT環境全体のセキュリティ上の弱点を検出し、特定された脆弱性を可能な限り速やかに緩和するために、継続的な脆弱性管理活動を維持する。
  7. 各エンドポイント上のアプリケーションとサービスを必要なものだけに制限し、エンドポイントに到達した攻撃を検出して対応するために、エンドポイントセキュリティ製品をインストールして構成する。

アプリケーション設計への徹底した防衛アプローチ

ウェブとクラウドのアプリケーション設計に適用されるDefense in Depthは、認証と認可を強化するために「誰も信用せず、すべてを検証する」アプローチを採用している。 

アプリケーション設計に対する「深層防御」アプローチをサポートするために使用できるセキュリティ対策には、以下のようなものがある:

  • 高いパスワード・キー・スペースを必要とする強力なアクセス・セキュリティ管理を行い、パスワードが定期的に変更されるようにして、パスワードの紛失や盗難による潜在的な影響を軽減する。
  • パスワードの紛失や盗難からアカウントを保護するために、多要素認証MFAを義務付ける。
  • デバイスのユーザーエージェント、ジオロケーション、行動パターンなどのユーザーコンテキストの評価
  • ゼロ・トラスト原則を採用し、ユーザーが購入やアカウント設定の変更などの機密性の高いアクションを実行する際に、再認証を強制する。

ネットワーク・セキュリティのためのCylanceGATEWAY

組織のネットワーク・セキュリティを実現する効率的で効果的な方法をお探しなら、AIを活用したZTNAソリューションCylanceGATEWAY™が最適です。デバイスに関係なくビジネスアプリケーションへのセキュアな接続をシームレスに確立し、企業は社内リソースへのスケーラブルなアウトバウンド専用アクセスを提供できるようになります。CylancePROTECT®EPPCylanceOPTICS®EDR、およびユーザー認証・行動分析(UEBA)製品と組み合わせることで、次のことが可能になります。 CylancePERSONACylanceGATEWAY は、従業員が外出先でもオフィスでも在宅勤務でも、接続、保護、生産性を維持するために必要なすべてを提供します。 
詳細はこちら

関連リソース

リソース・アイコン データ損失防止(DLP) リソース・アイコン エンドポイントセキュリティ リソース・アイコン エンドポイント・プロテクション・プラットフォーム(EPP) リソース・アイコン エンドポイント検出と応答(EDR) リソース・アイコン エクステンデッド・ディテクション&レスポンス(XDR) リソース・アイコン アイデンティティとアクセス管理(IAM) リソース・アイコン マネージド・ディテクション&レスポンス リソース・アイコン マネージドXDR リソース・アイコン MITRE ATT&CK フレームワーク リソース・アイコン モバイル脅威防御(MTD) リソース・アイコン ユーザーとエンティティの行動分析(UEBA) リソース・アイコン ゼロ・トラスト・アーキテクチャ リソース・アイコン ゼロ・トラスト・ネットワーク・アクセス(ZTNA) リソース・アイコン ゼロ・トラスト・セキュリティ リソース・アイコン セキュリティ情報・イベント管理(SIEM) リソース・アイコン セキュアアクセスサービスエッジ(SASE)
その他のリソース