多層防御とは?
特徴や多重防御との違い、
セキュリティ攻撃対策として有効なBDAPを解説!
近年は情報通信技術(ICT)の進化にともない、サイバー攻撃も多様化かつ巧妙化しています。金銭の窃取や個人情報の詐取のほか、国家や企業の機密情報を狙った攻撃もあとを絶ちません。そのため、従来よりも強固なセキュリティ対策が求められています。
この記事では、セキュリティ対策として有効な多層防御について、仕組みや特徴を紹介します。また、多層防御を取り入れる際のポイントも解説するので、ぜひ最後までお読みください。
多層防御とは?
多層防御は、企業や組織における情報セキュリティ対策の1つです。システム内に複数の防御層を設置することで、さまざまな種類のサイバー攻撃から機密情報などを守ります。
近年はICTの国際的な普及やAIの進化もあり、サイバー攻撃も高度になっています。従来のような単一の対策に頼ったセキュリティでは、防御が不十分なケースも出てきてしまうため、複数の対策を講じることが不可欠だといえるでしょう。
多層防御の仕組み
多層防御では、主に以下の3つの領域において対策を行ないます。それぞれの概要や特徴、具体例を見ていきましょう。
入口対策
入口対策とは、社内ネットワークへのウイルスの侵入・不正アクセスなどの脅威を未然に防ぐ対策です。例えば、ウイルス対策ソフトやファイアウォールを用いて、攻撃や不正な通信をブロックします。
IDS(不正侵入検知システム)やIPS(不正侵入防止システム)を導入して、ファイアウォールのみでは検知が難しい脅威に対策するのも有効です。
内部対策
内部対策とは、脅威となる存在の侵入を阻止できなかった場合などに、被害の拡大を防止する対策です。おもな内部対策としては、ログ監視や社内データの暗号化が挙げられます。ログ監視は、不審なアクセスなど社内ネットワークの異常を早期に検知できるため、迅速な対応に役立つ対策です。
近年はテレワークの普及もあり、PCやスマートフォンから社内ネットワークにアクセスする機会も増えています。これらのデバイスの状況を監視し、脅威の検知や対処を行うEDR(Endpoint Detection and Response)の導入も進んでいます。
出口対策
出口対策とは、機密情報や個人情報などの外部漏洩を阻止するための対策です。多層防御の最後の砦といえるでしょう。
具体的な出口対策としては、社外へのアクセス経路の制限や、プロキシーサーバーを用いた不審な通信のブロックなどが挙げられます。
そのほか、不審な動きを検知するサンドボックス型の標的型攻撃対策ツールや、Webアプリケーションの脆弱性の悪用を防ぐWAF(Web Application Firewall)の導入も出口対策の1つです。
多重防御との違い
多層防御に似た言葉に、「多重防御」があります。多重防御もセキュリティ対策の一種ですが、多層防御とは防御する領域が異なります。
先にも述べたように、多層防御では主に「入口」「内部」「出口」の3つの領域に対し、複数の防御層を設置します。一方で多重防御は、入口など特定の領域に集中して、セキュリティを幾重にもかけるものです。
そのため多重防御では、攻撃の種類によっては突破されてしまう恐れがあります。日々巧妙化するサイバー攻撃に対して完璧な対策は難しいものですが、安全性の向上には多層防御が最適といえます。
ゼロトラスト
多層防御とセットで考えておきたいのが「ゼロトラスト」です。ゼロトラストは、社内外を問わずすべてのユーザーやデバイスを信頼せず、常に認証や承認を求める考え方です。
今やIoT(Internet of Things)の普及により、さまざまなモノがインターネットにつながっています。加えてコロナ禍を機にテレワークが急増し、自宅やカフェなどさまざまな場所で仕事ができるようになりました。
そのため企業は、「社内ネットワークは安全」という従来の境界防御モデルを脱し、内部からの攻撃にも備える必要があります。ゼロトラストを前提とした多層防御への取り組みは、今後ますます求められるでしょう。
多層防御がセキュリティ対策として有効といわれている理由
次に、多層防御がセキュリティ対策として有効とされる理由を解説します。
サイバー攻撃の増加
多層防御が重要視される大きな理由は、サイバー攻撃の増加です。
総務省の「令和4年版情報通信白書」によると、2021年に大規模サイバー攻撃観測網(NICTER)が観測したサイバー攻撃関連通信数は、5年前(2016年)と比較して3.7倍の約5,180億パケットに増加しています。
参考:総務省「令和4年版情報通信白書」(我が国におけるサイバーセキュリティの現状
https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r04/summary/summary01.pdf
また、サイバー攻撃は単純に数が増えただけでなく、多様化かつ巧妙化しています。以下は、サイバー攻撃の種類の一例です。
特定の個人や企業などを標的とするもの
身代金の要求を目的としたランサムウェアや、メールを介して感染するEmotet(エモテット)、特定の組織を狙ってマルウェア感染をもくろむ標的型攻撃などがあります。
不特定多数を狙ったもの
銀行や金融機関からのメールを装い、個人情報を不正に取得するフィッシング詐欺や、アダルトサイトの閲覧時に金銭を要求するゼロクリック詐欺などです。
サーバーなどに過大な負担をかけるもの
標的となるサーバーにアクセスを集中させたり大量のデータを送信したりして、サイトのアクセストラブルなどを引き起こすDoS攻撃やDDoS攻撃があります。
このように多様化したサイバー攻撃に対し、機密情報漏洩のリスクを低減させるためには、多層防御が有効です。
テレワークの普及
コロナ禍を機にテレワークが普及したことも、多層防御が必要とされる背景の1つでしょう。社外ネットワークを通じて社内情報にアクセスする機会が増え、組織によるセキュリティの管理はより複雑かつ困難になっています。
また、アクセス経路に加えて、社員が使用するデバイスも多様化しています。さまざまなデバイスを業務利用できると、利便性が向上する反面、サイバー攻撃を受けるリスクも高まります。
そのため、多層防御によるセキュリティを導入し、リスクにつながる脅威の迅速な検知や、侵入を許してしまった際に被害を最小限に抑える対策などが求められるのです。
クラウドサービスの多様化
多層防御が推奨される理由には、クラウドサービスが多様化し多くの企業が導入していることも挙げられます。クラウドサービスでは、社外のネットワーク上に情報資産が置かれるため、セキュリティ対策の範囲も広がります。
ランサムウェアやマルウェア対策のほか、内部不正にあたる行動パターンや不審なアクセスの検知など、多層防御によるセキュリティの強化が重要です。
多層防御のメリットについて
続いて、多層防御を取り入れるメリットを説明します。
マルウェアの感染リスクを低減できる
多層防御では何層にもわたってサイバー攻撃への対策を行うため、マルウェア感染のリスクを低減できます。
マルウェアとは「Malicious Software」の略で、悪意あるソフトウェア(コード)の総称です。マルウェアには、ウイルスだけでなくスパイウェアやフィッシング、スパム、トロイの木馬などさまざまな種類が存在します。社内システムに何層ものセキュリティ対策を施すことで、保護したい情報への到達を困難にします。
不正アクセスを検知できる
多層防御ではシステム内のさまざまな領域で複数の監視を行うため、不正アクセスを検知しやすくなります。
複数の監視を行う点では多重防御も同じですが、入口など特定の場所での監視となるため、そこをすり抜けてしまうと被害が拡大する恐れがあります。不正アクセスの早期発見には、多層防御が適しているといえるでしょう。
被害を最小限に抑えられる
万が一不正アクセスを許してしまった場合でも、多層防御には不正を検知できるポイントが多数あります。そのため、早期にネットワークを隔離するなどの対応が可能になり、被害を最小限に抑えられます。
セキュリティインシデントを早期解決できる
不正アクセスやマルウェア感染など、企業や組織が遭遇した情報セキュリティに関する事件・事故のことをセキュリティインシデントといいます。サイバー攻撃など外部要因のほか、人的ミスや不注意による内部要因もあり、企業の規模を問わず起こりえることです。
セキュリティインシデントは対処が遅くなるほど被害が拡大し、場合によっては企業の存続にも影響をおよぼしかねません。多層防御なら不正を早期に検知できるため、セキュリティインシデントが発生した場合も迅速な対応が可能です。
多層防御のデメリットについて
多層防御の導入には、以下のようにデメリットになりうる部分もあります。
管理が複雑になる
多層防御では、「入口」「内部」「出口」のそれぞれの領域において、複数のセキュリティ対策を行ないます。しかし、多層防御は強固なセキュリティ対策を築ける反面、運用や管理が複雑になりがちです。
多くの企業では、セキュリティ対策を担う人材が不足しているといわれています。企業によっては、運用や管理に必要な人材の確保も課題となるかもしれません。
コストがかかる
複数のセキュリティ対策を導入するとなると、その分コストもかかります。製品やサービスごとの初期費用に加え、導入後も運用や管理を行うための人件費が継続的に必要です。企業の規模にもよりますが、現実的なコストで導入できるかどうか、事前に検討しておく必要があるでしょう。
UTM(Unified Threat Management:総合型脅威管理)は、さまざまなセキュリティ機能を1つに統合したソリューションです。多層防御の対策を包括的に行なえるため、複数の対策を個別に行うよりも、コスト面で効果が期待できるでしょう。
多層防御システムを構築するポイント
最後に、多層防御システムを構築する際に重要となるポイントを一覧で紹介します。
ウイルス感染リスクの低減
ウイルス感染は日々、大量に発生しています。以下では、多層防御の一環としての具体的な対策方法を見ていきましょう。
ウイルス対策ソフトの導入
ウイルス対策ソフトの導入は必須ですが、従来の「パターンマッチング方式」では、既知のマルウェアしか検出できません。そのため昨今は、マルウェアの動作や挙動を判断材料に未知のマルウェアを検出する、「振る舞い検知」機能の付いた対策ソフトが推奨されています。
ソフトウェアの更新と習慣化の徹底
使用する端末のOSやブラウザー、ソフトウェアなどは、常に最新の状態にアップデートすることが大事です。アップデートには機能の追加や強化のほか、セキュリティ上の問題点や不具合の修正が含まれます。つまり古いバージョンを使用したままだと、それだけウイルス感染のリスクが増えるということです。
社員一人ひとりに対してもアップデートの習慣化を呼びかけると同時に、システム管理者が各端末の状態を確認できる体制を整えましょう。
不審なメールや添付ファイルを開かない
特定の企業や組織を狙う標的型攻撃では、悪意あるファイルやURLを添付したメールがよく利用されます。近年は手口も巧妙化し、見分けがつきにくくなっていますが、不審なメールや添付ファイルを開かないよう社員教育の徹底が求められます。
大手企業と取引のある中小企業を標的とした、サプライチェーン攻撃もあります。この場合、ウイルス感染した中小企業が加害者となり、取引先である大手企業へと被害を拡大させてしまう恐れもあるため注意が必要です。
標的型攻撃メールへの対策では、社内ネットワーク入口でのウイルス検知のほか、添付ファイルを開いてしまった場合に感染を防ぐために、標的型攻撃対策ソフトの導入なども検討するとよいでしょう。
標的型攻撃を想定した訓練の実施
社員のセキュリティ意識を高めるためには、標的型攻撃を想定したメール訓練も有効です。メール訓練では、情報セキュリティの担当者を通じて擬似的な標的型攻撃メールを社員に送信します。
訓練後は開封率を集計して現状のリスクを把握したり、開封してしまった社員に個別指導を行なったりもできるため、企業全体の意識向上が期待できます。
脅威情報の収集と更新
ウイルス感染リスクを低減するには、今どのような脅威があるのかについて常に最新の情報を収集することが大切です。
NTTコミュニケーションズ株式会社が提供するBDAP(Blocklist Distribution Automatic and Protection)は、世界中のセキュリティ機器が検知した脅威情報をリアルタイムに収集・解析し、ブロックリスト化されます。これにより、未知の脅威に対して自動遮断を実行することが可能です。
重要業務を行う端末やネットワークの分離
現状では、サイバー攻撃を完全に阻止することは難しいとされています。そのため、サイバー攻撃を受けた場合を想定して、被害を最小限に抑える工夫が求められます。
その1つが、端末やネットワークの分離です。ウイルス感染はメールの受信時やWebサイトの閲覧時に起こりやすいため、メールやWebを閲覧する端末と、重要業務を行うシステムとを分離することが重要といえます。
また、ウイルスに感染した場合の被害拡大を抑えるには、部署や業務の単位でネットワークを分離することも有効です。
重要情報が保存されているサーバーでの制限
社内サーバーには、外部に漏洩できない重要データも保存されています。これらのデータやフォルダーにアクセス制限を設け、その業務の担当者のみがアクセスできるようにすることで、情報漏洩のリスクを低減できます。
さらにリスクを減らすには、データが持ち出されてしまった場合を想定し、データの暗号化やパスワードの設定も行うとよいでしょう。また、業務担当者の異動の際には、アクセス権限やパスワードの見直しを忘れないようにします。
事後対応の準備
セキュリティインシデントの発生など、有事の際には迅速な対応が求められます。「サイバー攻撃によるウイルス感染は起こりえるもの」という意識を持ち、万が一情報流出が発生した際にも迅速に行動できるよう、事後対応の準備をしましょう。
インシデント発生時には、まず状況を把握して関係省庁や調査会社などへ報告する必要があります。影響範囲の把握や証拠の保全、被害の拡大防止策なども求められるでしょう。このような具体的な対応の手順を取り決め、関係各所への連絡先などと合わせてマニュアル化しておくことが重要です。
まとめ
多層防御とはシステム内に複数の防御層を設置することで、さまざまなサイバー攻撃から機密情報などを守るセキュリティ対策です。
従来の「ネットワーク境界で侵入を防ぐ」ことに特化したセキュリティ対策とは異なり、サイバー攻撃を受けることを前提とし、入口対策・内部対策・出口対策など多層にわたって防御します。サイバー攻撃が多様化、高度化している現代においては、必須のセキュリティ対策といえるでしょう。
NTTコミュニケーションズ株式会社が提供するマネージドセキュリティサービス『VxGPlatform®(ブイエックスジープラットフォーム)』(以下VxGPF)がおすすめです。
たとえ1人情シスであっても運用していけるシングルベンダーSASEサービスです。
標準モデルとBDAPモデルから選択が可能です。
BDAP(多層防御+α)は、SOC(セキュリティオペレーションセンター)で監視している各所のセキュリティ機器が、最新のサイバー攻撃の情報を収集・解析し、ブロックリスト化してVxGPFに配信します。
VxGPF-BDAPモデルでは、VxGPF標準モデルのUTM機能(Fortinet社配信)に加え、NTT独自の高い検知率による高精度なブロックリスト配信が特長です。検知した情報はVxGPFへ自動で反映されるため、未知の脅威につながる通信を自動遮断することが可能です。
また、万が一不正アクセスなどによる情報漏えいが発生した場合には、原因調査費用や損害賠償費用、弁護士やコンサルティング会社への相談費用などを補償するサイバーリスク保険も付帯されています。
多層防御の考え方を自社のセキュリティにも取り入れて、対策を見直してみてはいかがでしょうか。