深層防衛高度な攻撃を未然に防ぐ

ほとんどの組織では、信頼できるものは「内部」に、信頼できないものは「外部」に、というセキュリティ境界の想定はもはや成り立たなくなっています。悪意のある内部関係者、侵害されたアカウント、ゼロデイ脆弱性によって、悪意のある行為者はすぐにネットワーク内部に入り込み、重要なインフラに至近距離まで迫ってきます。

深層防御（DiD）は、組織がこのような状況に対処するためのセキュリティ戦略である。この戦略は、攻撃者が組織の防御のさまざまな層に侵入する、あるいはすでに侵入していることを前提としている。攻撃サイクルのあらゆる段階で攻撃者を検知するためには、複数のセキュリティ層が必要である。

推奨図書：サイバー脅威インテリジェンスの4つのタイプと効果的な使い方。

ディフェンス・イン・デプスとは何か？

Defense in depth（深層防御）とは、システムやデータを保護するために防御の仕組みを階層化するサイバーセキュリティのアプローチである。レイヤーを重ねることで、1つの防御に失敗しても、別の防御が攻撃をブロックします。この意図的な冗長性により、より高いセキュリティが実現し、より多様な攻撃から守ることができる。DiDは城の壁に似ていることから、キャッスル・アプローチとも呼ばれる。

徹底した守備はなぜ重要なのか？

深層防御は、システムを可能な限り効果的に保護するのに役立つ。さまざまなツールやソリューションが侵害された場合でも、セキュリティを考慮する必要があります。どのようなセキュリティ・ツールや対策も完璧ではないため、潜在的な障害を考慮する必要がある。セキュリティの層を重ねることで、システムで単一障害点が発生する可能性を減らすことができます。

深層防衛アーキテクチャ

深層防御アーキテクチャは、システムの管理的、技術的、物理的なコンポーネントを保護するように設計されたコントロールを使用します。

• 管理統制 -権限を制限し、セキュリティを維持する方法についてユーザーを指導する手順や方針が含まれる。
• 技術的管理-システム・リソースを保護するために使用される特殊なソフトウ ェアやハードウェアが含まれる。例えば、アンチウイルスやファイアウォールソリューションなどである。
• 物理的管理-施錠されたドアや監視カメラなど、システムを保護するための物理的インフラを含む。

また、システムの個々のコンポーネントを保護するために、追加のセキュリティ・レイヤーを使用することもできる：

• アクセス対策-生体認証、仮想プライベート・ネットワーク（VPN）、認証管理、時間指定アクセスなど。
• ワークステーションの防御 -アンチスパムソフトウェアやアンチウィルスエージェントを含む。
• データ保護 -パスワードのハッシュ化、暗号化、安全な転送プロトコルなど。
• 境界防御-侵入検知・防止システムやファイアウォールを含む。
• 監視と予防-ロギング、脆弱性スキャン、スタッフに対するセキュリティトレーニングなど。
• 脅威インテリジェンス-侵害の指標（IoC）、既知の脅威行為者、およびその戦術、技術、手順（TTP）に関する最新情報を提供するデータフィード。

ディフェンス・イン・デプスの例

ディフェンス・イン・デプスを適用する方法はたくさんある。以下に2つの例を挙げる。

ウェブサイト保護 -ウェブサイトのDiDには、アンチスパム、アンチウィルスソフトウェア、ウェブアプリケーションファイアウォール（WAF）、プライバシーコントロール、ユーザートレーニングの組み合わせが含まれます。多くの場合、これらのソリューションは1つの製品にバンドルされています。これらのツールは、クロスサイト・スクリプティング（XSS）やクロスサイト・リクエスト・フォージェリ（CSRF）などの脅威から保護するために使用されます。これらの攻撃はいずれも、ユーザーのセッションを乗っ取って悪意のあるアクションを実行します。

ネットワーク・セキュリティ-ネットワーク・セキュリティのDiDは、通常、ファイアウォール、暗号化、侵入防止システムを組み合わせている。このレイヤリングは、まずトラフィックを制限し、次に侵入が発生した場合にそれを検知するために機能する。最後に、たとえ攻撃を見逃しても、暗号化によって攻撃者がデータにアクセスできないようにすることができる。

深層防衛サイバーセキュリティ計画の重要な要素

効果的な深層防衛戦略を構築するには、多大な時間とリソースを要する。取り組みから最大限の効果を得るために、以下を必ず含めること：

システムの監査 -システムを効果的に保護するには、すべての資産の所在と資産の優先度を把握する必要があります。これには、ファイル、アプリケーション、ユーザーが含まれます。また、どこに脆弱性があり、攻撃者がどのように問題を悪用するかを理解する必要があります。

行動分析の導入 -ユーザーとエンティティの行動分析（UEBA）は、システムとユーザーを監視し、従来のツールでは見逃されていたインシデントを検出するのに役立ちます。UEBAは、行動ベースラインを使用して異常な行動を特定します。これにより、漏洩した認証情報を使用する攻撃者や悪意のある内部関係者を特定することができます。

データの優先順位付けと隔離-優先順位の高い情報の保存場所とアクセスできる人を限定するようにする。例えば、個人を特定できる情報は、古いマーケティング資料よりも厳重に保護する必要がある。データの保存場所とアクセスできる人を制限することで、データへの侵入口を減らし、セキュリティ対策に集中できるようになります。

複数のファイアウォールを使用する -使用できるファイアウォールには複数の種類があり、必要に応じてこれらのツールを使用する必要があります。例えば、エンドポイントやアプリレベルのファイアウォールを使用して、デバイス間のトラフィックを検査することができます。ネットワークの内側と外側の両方でファイアウォールを使用することで、ラテラル・アタックを防ぎ、システムの分離を可能にします。

エンドポイント・プロテクションの導入：エンドポイント・プロテクション・プラットフォーム（EPP）を導入して、エンドポイントを保護し、システムへのアクセスを制限する必要があります。これらのプラットフォームには多くの場合、応答時間を短縮し、インシデントをリアルタイムで検出するのに役立つエンドポイント検出および応答（EDR）テクノロジーが含まれています。

インシデント対応計画の実施 -インシデント対応計画（IRP）は、システムの脆弱性を特定し、保護対策を計画し、インシデント対応時間を短縮するのに役立ちます。IRPには、インシデントの管理責任者と対応方法が詳細に記載されています。

これらの計画により、対応が標準化され、各インシデントが適切に処理されるようになります。多くの場合、このような計画には、迅速な対応を保証するための自動化されたプレイブックを備えたセキュリティオーケストレーション、自動化、および対応（SOAR）テクノロジが含まれています。

マルチレイヤー・セキュリティExabeam Fusion

SIEMとはExabeam Fusionは、サイバー攻撃の検知と対応に対応する次世代型のセキュリティ情報・イベント管理（SIEM）であり、高度な分析機能を使用して、攻撃前または攻撃中にシステム内の悪意のある動作を発見する調査レイヤーとしても機能します。攻撃が成功した場合、Exabeamはインシデント・レスポンス機能も備えており、セキュリティ・チームは攻撃に対処し、被害を軽減することができます。

Exabeamを他の防御レイヤーとともに使用することで、組織のセキュリティを強化し、高度なサイバー攻撃を防止および軽減する能力を向上させることができます。