多層防御とは、入口・内部・出口に対して、防御を導入することです。複数の層を防御することで、1つの層だけで防御した場合と比べて突破されるリスクを軽減します。

たとえば、パケットフィルタリングは、ネットワーク層でやりとりするIPアドレスを判別しますが、ポートで判別したい場合はセッション層を制御しなければなりません。このように複数の制御を組み合わせて防御する仕組みを「多層防御」といいます。

参考資料：経済産業省「サイバーセキュリティ経営ガイドライン Ver3.0」

「多重防御」は入口に防御を集中させて守ることを前提としています。多重防御は主にマルウェアの侵入を防御する考え方のことです。

一方、「多層防御」は入口を突破されたケースを想定した防御を指します。多層防御の目的は、不正に侵入されないように対策することと、侵入された後の被害の拡大を抑えること。たとえば、マルウェアが社内ネットワークに侵入した場合、内部や出口で多層防御を講じることによって、情報漏洩などを防ぎます。

本項目では、なぜ多層防御が必要であるかを解説します。

社外のネットワーク上に情報を保管しておくクラウドサービスについても多層防御が必要です。身代金を要求されるランサムウェア対策や不審なアクセスを検知できるよう、対策を講じておきましょう。

サイバー攻撃は年々増加しており、2022年のサイバー攻撃に関する通信は、2015年の8.3倍まで跳ね上がっています。ここでは、攻撃の内容について解説しますので、多層防御を講じるときの参考にしてください。

参考資料：総務省「令和5年版 情報通信白書」

DoS（DDoS）攻撃によるサーバー負荷で、サービス停止やアクセス混雑によるトラブルを促す攻撃も増加しています。IoT機器などを不正アクセスして乗っ取り、特定のサーバーへアクセスを集中させ、サーバーダウンさせることが目的です。

たとえば、IoT機器などはTelnetと呼ばれる通信でアクセスされるため、多層防御の入口対策が有効です。

サイバー攻撃の中には、特定の組織や企業を狙う攻撃もあります。マルウェアを仕込まれた場合、サーバー・パソコンの乗っ取りや情報漏洩などに繋がるため、多層防御による対策が必要です。

本体の標的を攻撃するため、標的が協業している中小企業などの端末を乗っ取るサプライチェーン攻撃なども考慮し、多層防御を講じてセキュリティを強化しましょう。

不特定多数への攻撃として挙げられるのは、フィッシング詐欺やゼロクリック詐欺などです。たとえば、大手通販サイトや銀行を装ってメールを送信し、メールの開封やURLをクリックすると個人情報を取得されるものがあります。

多層防御での対応としてはURLフィルタリングがあげられ、URLフィルタリングはアプリケーション層の防御が対象です。

様々なサイバー攻撃から企業を守るには、1つの対策機器だけでは不十分であるため、多層防御で対策しましょう。たとえば、ルーターのフィルタリングをすり抜けた不正なメールなどは、別の対策を講じて対処する必要があります。

テレワークの導入により、企業で管理しているパソコンや通信機器以外にも、セキュリティ対策すべきものが増加しています。また、社内システムにアクセスするネットワークも増加しているため、多層防御を講じなければなりません。

たとえば、企業と同じセキュリティ対策ができるルーターを自宅で用意していない場合などは、サイバー攻撃を受けるリスクが高くなるので注意が必要です。

本項目では、多層防御の仕組みを見ていきましょう。

多層防御の入口対策とは社内ネットワークへ攻撃を侵入させない対策のことです。不正アクセスやIPインジェクションなどを予防します。具体的な対策としては、ファイアウォールやウイルス対策ソフトを導入することが効果的です。

多層防御の内部対策とは、攻撃が侵入してしまった後に被害を抑えるための対策です。不正アクセスされてしまった場合などにウイルス対策ソフトのEDR対策を利用してログを監視して、異常を検知します。検知後は管理者に通知されるため、手動で対策を実施します。

また、乗っ取られた時に攻撃者を特定したり、対策を講じるためログを記録したりすることも多層防御の内部対策として有効です。

多層防御の出口対策とは攻撃が侵入し、マルウェアなどの感染によって情報漏洩や乗っ取られたシステムが加害者にならないようにする対策です。出口対策では、社内から社外への不審な通信を検知して遮断します。具体的には、サンドボックスやプロキシサーバーの設置などが多層防御の出口対策として有効です。

本項目では、多重防御の9つのメリットを解説します。

多層防御では「出口対策」を講じるため、不正アクセスされたとしても、個人情報や機密情報が漏洩されることを防ぎます。情報が漏洩した場合は企業の信頼を落としてしまうため、対策を講じておきましょう。

多層防御を講じることによって、セキュリティ対策すべきポイントの整理が可能です。整理した情報をもとに、どこにセキュリティの問題があるか、攻撃を受けた場合に見るべきログはどれであるかなどを把握できるメリットがあります。

多層防御をすることでセキュリティ問題を早期解決できます。異常を検知できるポイントを複数仕掛けるため、迅速な対応が可能です。把握が遅れると被害が拡大する可能性が高くなるため、多層防御の内容を検討するときは、早期解決を図れるように設計する必要があります。

多層防御では、サイバー攻撃によって入口を突破された場合でも、内部対策や出口対策で被害を抑えられることがメリットです。早期に不審なアクセスを検知することで、被害拡大を防ぐための対応ができます。

多重防御を正しく実施することによって不正アクセスの検知が可能です。検知するポイントは「入口」「内部」「出口」だけではなく、それぞれのネットワーク層に対して仕掛けます。ただし、検知するポイントをやみくもに増やすと、分析するログが増えて対処に時間がかかるため、必要な場所を整理しながら設計しましょう。

多層防御では、マルウェア感染のリスクを低減させるためにも効果的です。ウイルス対策ソフトだけでは対応できない攻撃を受けた場合、多層防御することで内部や出口で検知できる可能性があります。

続いて、多層防御では具体的にどのような対策を講じればよいか、本項目で紹介します。

企業でのセキュリティでは、アンチウイルスソフト（ウイルス対策ソフト）もしくはEPP（エンドポイントプロテクション）での対策が基本です。100%防御することはできませんが、既知のサイバー攻撃に対して多層防御の入口対策が有効であるため、必ず取り入れておきましょう。

EDR（エンドポイントディテクション・レスポンス）は、端末で実行されるプログラムが不正な動きをした場合に検知できるセキュリティソフトです。たとえば、マルウェアに侵入を許したとしても、EDRで多層防御の内部対策を施すことによって早期発見できれば、被害を抑えられます。

「サンドボックス」はファイルを安全に開くための仮想環境のことです。サンドボックスを取り入れると、社内のシステムで実行する前にファイルやプログラムが安全なものであるかを仮想環境で検証できます。

2017年7月10日に公表された総務省の資料でも、サンドボックスはサイバー攻撃へのセキュリティを強化したい場合に有効とされる対策です。

参考：総務省「サイバー攻撃（標的型攻撃）対策防御モデルの解説」

IDSとIPSは以下の機能があり、多層防御の入口対策として有効です。

IDSは「不正侵入検知システム」であるため、通知を受けた後は管理者によって早期にアクションしなければ、サイバー攻撃の侵入を防げない可能性があります。一方、IPSは「不正侵入防御システム」であるため、通知による行動が遅れたとしても、IPSによって異常な通信の防御が可能です。

ファイアウォールとは外部と内部の間に隔たりをつくり、外部からの不正アクセスを防ぐシステムです。多層防御の入口対策として設けられ、IPアドレスやポートで許可する通信を判断します。社内ネットワークの外側に設置することが一般的ですが、公開サーバーを設ける場合はファイアウォールを2台導入し、以下のような構成が理想的です。

プロキシサーバーは、Webサーバーへアクセスするためのサーバーです。プロキシサーバーを介して、端末からWebサーバーへアクセスすることで、社内から社外へのHTTP/HTTPSのアクセスを監視できます。そのため、多層防御では出口対策としてプロキシサーバーを構えると効果的です。

2022年の総務省の調査では、全体の19.1%（企業数約462件）が導入しており、主に金融業・保険業で利用されています。

参考：e-Stat「通信利用動向調査 / 令和4年通信利用動向調査 / 企業編」

標的型メールはサイバー攻撃のなかでも比較的多く発生しているため、メールセキュリティソフトを導入すると効果的です。メールからのマルウェア感染は、業種を問わず利用されるサイバー攻撃のため、多層防御による対策を取っておきましょう。

メールセキュリティは製品によって対策する対象が異なります。

自社で利用するメールソフトに適したメールセキュリティを導入しましょう。

サイバーハイジーンとは、企業で管理している端末の設定値を見直し、ソフトを最新のバージョンに揃えることです。サイバーハイジーンは多層防御というより、機器を衛生管理することで攻撃のきっかけを減少することを目的とします。

サイバーハイジーンは、個々で実施するのではなく、CSIRTで時期や設定内容などを取り決めて実施するとよいでしょう。

UTMは複数のセキュリティを1つのデバイスに統合する統合脅威管理のことです。セキュリティ管理を一元化することによってツールを絞り込んで監視できるため、早期発見に繋がります。複数のセキュリティとは、先述したファイアウォール・IPS・アンチウィルスなどのことです。

2024年4月5日、総務省が公表した「情報アクセシビリティ好事例2023」でもUTM機器について取り上げています。UTMを導入するときは有識者が必要であるため、必要な場合は相談先の確保も必要です。

多層防御は複数の箇所で仕掛ける防御策です。しかし、どこにポイントを絞って構築すればよいか迷う担当者も多いのではないでしょうか。本項目では、ポイントを5つに絞って紹介するので、ぜひ参考にしてください。

ウイルス感染リスクの低減に努めることは、企業の信頼を失墜しないためにも重要であり、基本的なポイントです。サイバー攻撃はウイルス感染を手段として、サーバ停止や情報漏洩を図るものがあるため、対策する必要があります。

対策としては、ウイルス対策ソフトを導入することや、不審なメールを開かないことなどです。後述で説明するCSIRTを利用して、機器に導入しているソフトウェアのアップデートの状況を管理し、社内広報で運用を呼びかけるなどで対策するとよいでしょう。

機密情報を扱う端末を外部から閲覧できるネットワークから分離することは、情報漏洩を防ぐために重要です。ネットワーク分離は、マイナンバーを取り扱う自治体でも取り入れている手法であり、総務省も推奨しています。

企業でも積極的に取り入れて、サイバー攻撃を防ぎましょう。

機密情報があるサーバーにアクセス制限を設けることは、多層防御の入口対策として有効です。具体的には、従業員の役職や業務によって、アクセスできるサーバーを分けたり、ファイルにパスワードをかけたりすることが挙げられます。

ログインIDによってアクセス制限をかける場合、設定するパスワードは攻撃者に想定されにくい強固なものにしておくことが重要です。

サイバー攻撃が発生した場合、被害拡大を防止するために事後対応の準備をしておきましょう。サイバー攻撃を検知されたときの調査箇所の洗い出しや、報告のフロー、連絡先などを事前に整理しておく必要があります。

セキュリティ対策の担当者に依存しない対応ができるよう、マニュアルとして残しておきましょう。

CSIRT（コンピューター・セキュリティ・インシデント・レスポンス・チーム）とはセキュリティ対策を実施するチームのことです。社内に部署や組織を設置することで、サイバー攻撃に対して専門的な知識を蓄え、対策を講じてセキュリティ対策を高める狙いがあります。

企業のセキュリティ対策は、個々の管理では性格に依存してしまい不十分であることが懸念されます。チームを設けて、正しく管理できるようにしましょう。

本記事では、多層防御の仕組みと多重防御との違いや、対策などを解説しました。侵入されないように対策することはもちろんですが、サイバー攻撃を完全に防ぐことは難しいものです。

多層防御は侵入された場合を含めて実施する対策であるため、被害の拡大を防いだり、管理者によって対処する時間を稼いだりする効果があります。企業で多層防御を取り入れ、セキュリティ環境を強化しましょう。

コンサルティングに関しては、専門性を持ったコンサルタントが、徹底して伴走支援するクオンツ・コンサルティングにご相談ください。

①大手コンサルティングファーム出身のトップコンサルタントが多数在籍
②独立系ファームならではのリーズナブルなサービス提供
③『事業会社』発だからできる当事者意識を土台にした、実益主義のコンサルティングサービス

クオンツ・コンサルティングは『設立から3年9ヶ月で上場を成し遂げた事業会社』発の総合コンサルティングファームです。
無料で相談可能ですので、まずはお気軽にご相談ください。