• 現代のセキュリティは、脅威を締め出すことではなく、脅威が侵入してきたときに備えることが求められます。
• 予防は重要ですが、組織を保護するにはそれだけでは不十分です。そこで多層防御（ DiD ）が役立ちます。
• DiDと Zero Trust はライバルのように見えるかもしれませんが、実際には連携して機能し、より強力になっています。
• DiD戦略を構築するには、環境のすべての層にわたって防止、検出、対応のバランスをとる必要があります。

「問題は『起こるかどうか』ではなく、『いつ起こるか』だ」というのが、今日のサイバーセキュリティ専門家が訴えている考え方です。クラウドやエンドポイントからハイブリッドネットワークに至るまで、今日の環境は分散化と複雑化が進み、境界ベースのセキュリティだけに頼ることはできません。遅かれ早かれ、これらの境界は侵害されるでしょう。

SANSとの提携ウェビナー「多層防御：サイバー防御を強化する多層防御」では、 SANSの専門家テッド・デモポロス氏は、「あなたもハッキングされるだろう」と率直に述べています。ファイアウォールがどれほど強力であっても、単一のセキュリティ層では、高度な脅威の集中攻撃や現在の脅威環境の複雑さに耐えることはできません。

2024年、データ侵害のコストは10%上昇し、平均で驚異的な488万ドルに達しました。さらに悪いことに、侵害の検知と封じ込めが十分な速さで行われていません。1日でもコストは大きく変わり、200日以上かけて封じ込めた侵害は、200日未満で封じ込めた侵害（407万ドル）よりも平均139万ドル多く（546万ドル）かかります。

残念ながら、侵害の封じ込めは必ずしも数日で済むとは限りません。テッドは、侵入が深くまで及んだために、侵害がそれぞれ4年と8年も検知されなかった組織の例を挙げ、ある企業の倒産の一因となった可能性があると指摘しました。これらの事例から、予防だけでは不十分であることが明らかです。攻撃者が侵入してきた際に横方向の移動を阻止し、被害を最小限に抑えるためには、組織は戦略を転換する必要があります。そして、それは文字通り大きな成果をもたらす可能性があります。

多層防御（ DiD ）は、こうした現実に対する戦略的な対応策です。防止は理想的ですが、検知は必須であり、対応は不可欠です。クリストファー・ミクスター氏やアキフ・カーン氏といった専門家は、組織は「失敗を一切許容しない」という考え方から脱却する必要があると考えています（ 2024年ガートナー・リスク＆セキュリティ・サミット）。

侵入したらどうなるの？

コンスタンティノープルの守備隊に聞いてみてください。（時代を遡ったような話ですね）テオドシウスの城壁は、1つの壁ではなく、3つの壁で構成されていました。深い堀、要塞化された外壁、そして弓兵と容赦ないギリシャ火砲が飛び交うそびえ立つ内壁です。1000年以上もの間、この重層的な防御壁は、最前線を突破した侵略者を食い止めてきました。これがDiDの真髄です。重なり合う複数の層が、それぞれがリスクを軽減し、攻撃者の進撃を遅らせることで、完全に陥落する可能性を低く抑えるのです。

この考え方は、単なる戦略にとどまらず、侵害が差し迫っていることを前提とし、それに応じた準備をします。なぜなら、あらゆる攻撃を100%確実に防ぐツールは存在しないからです。だからこそ、 DiDは非常に重要なのです。目標は、すべてのリスクを排除することではなく、リスクを許容可能かつ管理可能なレベルまで低減することです。

DiDの各レイヤーは、CIA トライアドとも呼ばれるリスクの中核領域の 1 つに対処します。これは、機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)という3つの原則の頭文字をとったものです。

• 機密性- 機密データへのアクセスを制限
• 完全性- システムとデータが変更されないことを保証する
• 可用性- 必要なときに承認されたアクセスを保証します

これらをサポートするために、 DiD は次の 3 種類のセキュリティ制御に依存しています。

• 予防-攻撃をブロックする 壁の外側（例：ファイアウォール、アクセス制御、暗号化）
• 検知- 疑わしい活動を識別し、警告を発する（例：ログ記録、侵入検知システム、セキュリティ情報イベント管理システム）
• 是正/対応- インシデントを封じ込めて修復する（例：エンドポイントの分離、パスワードのリセット、インシデント対応計画）

適切な対応がなければ、タイムリーな検出さえも失敗し、 高額な損害と長期間のダウンタイムが発生します。階層化されたアプローチにより、攻撃者が標的に到達するのが困難になり、組織は複雑で高度な持続的脅威（APT）に直面しても回復力を維持できます。

DiDを構築するための4つの戦略

レジリエントなDiD戦略は、万能ではありません。組織のリスクプロファイル、インフラストラクチャ、クラウドの成熟度に合わせて柔軟にカスタマイズできます。実際には、組織では以下の戦略を組み合わせる必要があるかもしれません。

1. 統一された保護: セキュリティ境界の背後にあるすべてのものに一貫した制御を適用します。 これは、境界ファイアウォールや、ユーザー全体に Web ポリシーを適用して悪意のあるサイトや許可されていないアプリをブロックする SWG など、すべてのシステムに同じ検査およびフィルタリング ルールを設定することを意味します。
2. 保護されたエンクレーブ：ネットワークや高価値資産をセグメント化することで、より強力な保護を実現します。テッドが紹介してくれたように、ある軍事基地では、どの種類の接着剤が最も効果的かをテストした後、ソフトウェアでUSBポートを無効化し、エポキシ樹脂で塞いだそうです。これはまさに、国防総省（DoD）のDiD（DiD）を真摯に受け止めた結果と言えるでしょう。
3. 情報中心のセキュリティ：データ自体を保護しましょう。データの周囲を囲む壁だけではありません。データは移動するため、保護もそれに合わせて移動する必要があります。ホストレベルのセキュリティ強化、データ損失防止（DLP） 、暗号化、アプリケーション制御によって、データのあらゆる移動を保護できます。
4. 脅威ベクトル分析：攻撃がどのように発生するかを分析し、脆弱なUSBポートや外部メールなどの弱点を強化します。主な目標は、あらゆる場所に同じ防御策を適用するのではなく、最も攻撃を受けやすい場所を強化することです。

DiDとゼロトラストの連携

ゼロトラストでは、デフォルトでは何も信頼されません。境界内外を問わず、すべてのユーザーデバイスと接続は疑わしいものとして扱われます。詳細なログ記録と厳格なアクセス制御による継続的な検証が重視されます。DiDは、ログインを超えた深度を追加することでこのアーキテクチャを拡張し、ゼロトラストのカバー範囲以上のことを検出、封じ込め、対応まで網羅します。DiDは、ゼロトラストの原則を論理的に極限まで推し進めたものであり、実行ファイル（アプリやファイルなど）が信頼できると証明された場合にのみ、継続的にアクセスを許可します。

ゼロトラスト が壁を構築する一方で、 DiD は壁の層を追加し、内部から戦う準備ができている防御者を配置します。

哲学から実践へ

DiDは、村全体の協力を必要とする、積極的かつ進化する戦略です。単一のセキュリティ対策では万全ではないため、シームレスに連携する多層的な対策が必要です。1つの対策が機能不全に陥っても、別の対策が機能し、脅威の進行を遅らせ、封じ込めます。

あらゆる組織は、最善のツールを組み合わせるか、統合スイートを導入するかという重要な選択に直面しています。適切なDiDプログラムの選択は、チーム、ツール、そして複雑さへの許容度によって異なります。

このブログはまだ始まりに過ぎません。次回の記事では、クラウド対応でエンドポイント耐性を備えた最新のDiD戦略の実態と、賢明な組織がどのようにそれを実現しているかについて解説します。

テッドと私から直接話を聞くには、ウェビナー全編をご覧ください。 多層防御: サイバー防御を強化する多層防御 にアクセスし、最新のDiD戦略に関する独占ホワイトペーパーをダウンロードしてください。