多層防御とは？ わかりやすく10分で解説

多層防御とは

多層防御とは、ネットワーク、端末、アプリケーション、認証、監視、運用ルールなど複数の防御層を組み合わせ、一つの対策が突破された場合でも別の層で攻撃の検知・遮断・被害拡大の抑制を図る考え方です。単一の製品や機能を指す言葉ではなく、複数の対策を役割分担させて全体の耐性を高めるセキュリティ設計を指します。

たとえば、外部との境界ではファイアウォールやWAF、内部ではIDS/IPSやネットワーク分離、端末ではEDRやマルウェア対策、利用者認証では多要素認証、運用面ではログ監査やインシデント対応手順を組み合わせます。目的は「絶対に侵入させない」ことだけではありません。侵入や設定ミスが起きる可能性を前提に、検知、遅延、遮断、復旧まで含めて被害を抑えることです。

多層防御の定義

多層防御は、複数の防御策を異なるレイヤーに配置し、各層が互いの弱点を補完するように設計するセキュリティの考え方です。境界防御、端末防御、アプリケーション防御、認証・認可、監視、教育、運用手順などを組み合わせて構成します。

重要なのは、防御策を数多く並べることではありません。各層が「何を防ぐのか」「何を検知するのか」「突破された場合に次の層が何を担うのか」を明確にすることです。役割が重複しすぎていたり、逆に重要な範囲が空白になっていたりすると、多層防御としての実効性は下がります。

多層防御の背景

サイバー攻撃は、単一の経路だけで行われるとは限りません。脆弱性の悪用、フィッシング、認証情報の窃取、マルウェア感染、内部不正、設定ミスなど、攻撃や事故の起点は複数あります。そのため、一つの対策だけで全体を守る設計には限界があります。

多層防御は、こうした前提に対応するために使われます。ファイアウォールで通信を制御しても、認証情報が盗まれれば正規ユーザーとしてログインされる可能性があります。端末対策を導入しても、権限設定が甘ければ重要データへ不要なアクセスが発生します。複数の層で制御と監視を行うことで、攻撃の成立条件を減らし、発生時の影響を限定します。

多層防御の目的

• 単一障害点を減らす：一つの対策に依存せず、別の層で検知や遮断ができる状態を作る。
• 攻撃の進行を遅らせる：侵入後すぐに重要情報へ到達されないよう、権限、ネットワーク、監視で段階的に制御する。
• 被害範囲を限定する：端末やアカウントが侵害されても、横展開や権限昇格を抑える。
• 検知と対応を早める：ログやアラートを活用し、異常を早く把握して対応できる状態にする。
• 運用上の抜けを補う：人の判断ミスや設定不備があっても、別の層で影響を抑えられるようにする。

多層防御は、攻撃を完全に防ぐというより、攻撃を成立しにくくし、成立した場合の損害を小さくするための設計です。防御、検知、対応、復旧のどこまでを対象にするかを決めたうえで、層ごとの役割を設計する必要があります。

多層防御のメリットと注意点

多層防御は、対策を増やすほど安全になるという単純な考え方ではありません。管理できない製品やルールを増やすと、調査や復旧に時間がかかり、現場の迂回行動も発生します。効果を出すには、どの層が何を担うのかを整理し、運用できる範囲で設計する必要があります。

多層防御を構成する主な要素

ファイアウォール

ファイアウォールは、ネットワーク境界やセグメント間で通信を制御する基本的な対策です。送信元、宛先、ポート、プロトコルなどの条件に基づき、許可された通信だけを通します。

ファイアウォールは外部からの不要な通信を減らすうえで有効ですが、許可済み通信の中に含まれる攻撃や、正規アカウントを使った不正アクセスまでは単独で防げません。そのため、IDS/IPS、EDR、認証強化、ログ監査と組み合わせて運用します。

IDS/IPS

IDSは不審な通信や攻撃の兆候を検知し、管理者へ通知する仕組みです。IPSは、検知した通信に対して遮断などの制御を行います。ファイアウォールが通した通信の中から、攻撃パターンや異常な挙動を見つける役割を担います。

IDS/IPSを有効に使うには、アラートの優先度付けや確認手順が必要です。検知件数が多すぎると、重要なアラートが埋もれます。どの通信を監視し、どのアラートを即時対応に回すのかを決めておく必要があります。

端末防御とEDR

端末やサーバーには、マルウェア対策、デバイス制御、脆弱性修正、EDRなどを配置します。EDRは、端末上の不審な挙動を検知し、調査や隔離、対応に使う仕組みです。

ネットワーク側の対策をすり抜けた攻撃でも、端末上で不審なプロセス起動、権限昇格、外部通信、ファイル暗号化などを検知できれば、被害を抑えられる可能性があります。特にランサムウェアや標的型攻撃では、侵入後の挙動を把握できる端末側の監視が重要です。

脆弱性管理

脆弱性管理は、攻撃に使われる弱点を減らす取り組みです。OS、ミドルウェア、アプリケーション、ネットワーク機器、クラウド設定などを対象に、更新、パッチ適用、設定見直しを行います。

脆弱性が残ったままでは、他の防御層を迂回される可能性があります。多層防御では、攻撃を止める対策だけでなく、攻撃されやすい状態を減らす活動も重要な層として扱います。

アクセス制御と認証強化

アクセス制御は、必要な人だけが必要な範囲にアクセスできる状態を作る対策です。利用者、端末、場所、業務内容に応じて権限を制御します。重要システムやリモートアクセスでは、多要素認証を組み合わせることで、パスワード漏えい時の不正ログインリスクを下げられます。

特権アカウントや管理者権限は、特に厳格な管理が必要です。特権ID管理、権限棚卸し、利用ログ確認を組み合わせることで、内部不正や侵害後の権限悪用を抑えやすくなります。

ログ監査とSIEM

多層防御では、各層のログを集め、異常を把握できる状態にする必要があります。SIEMは、複数のシステムやセキュリティ機器からログを収集・相関分析し、不審な兆候を検知するために使われます。

ログを取得していても、確認されなければ対応にはつながりません。どのログを保管し、どのアラートを誰が確認し、どの条件でインシデント対応へ移るのかを決める必要があります。

セキュリティ教育

利用者教育も多層防御の一部です。フィッシングメール、不審な添付ファイル、パスワードの使い回し、外部共有設定の誤りなど、人の判断に起因するリスクは少なくありません。

教育では、抽象的な注意喚起ではなく、実際の行動に落とし込む必要があります。たとえば、メール内リンクからログインしない、不審な添付ファイルを開く前に差出人と用件を確認する、インシデントが疑われる場合は所定の窓口へ報告する、といった行動単位で定着させます。

多層防御の設計手順

守る情報資産を整理する

最初に、守るべき情報資産と業務を整理します。顧客情報、認証情報、設計情報、契約情報、決済情報、業務システム、クラウド環境など、停止や漏えい時の影響が大きい対象を洗い出します。

すべてを同じ水準で守ろうとすると、費用と運用負荷が大きくなります。業務影響、法令・契約上の要求、外部公開の有無、アクセスする人数、復旧優先度を踏まえて、対策の優先順位を決めます。

想定する脅威を決める

次に、どの脅威を想定するかを決めます。代表例として、フィッシング、認証情報の窃取、ランサムウェア、脆弱性悪用、内部不正、設定ミス、DDoS攻撃などがあります。

想定脅威が曖昧なままでは、防御層の役割も曖昧になります。たとえば、ランサムウェアを重視するなら、メール対策、端末監視、権限制御、バックアップ、復旧訓練が必要です。認証情報の窃取を重視するなら、多要素認証、条件付きアクセス、ログ監視、利用者教育が重要になります。

既存対策の過不足を確認する

既に導入している対策を棚卸しし、重複と不足を確認します。ファイアウォールはあるがログ確認がされていない、EDRはあるが対応手順がない、多要素認証はあるが管理者アカウントに適用されていない、といった状態は珍しくありません。

多層防御では、製品の有無だけでなく、設定、監視、対応手順、運用責任まで確認します。導入済みの対策が実際に機能しているかを見ないと、防御層として扱えません。

防御層ごとの責任を決める

各層について、責任部署、確認頻度、例外承認、アラート対応、見直し条件を決めます。たとえば、ファイアウォールルールは誰が変更承認するのか、EDRアラートは誰が一次確認するのか、特権IDの棚卸しはどの頻度で行うのかを明確にします。

責任が曖昧な層は、障害や攻撃の発生時に対応が遅れます。多層防御は構成だけでなく、運用責任まで設計して初めて機能します。

多層防御の適用例

企業ネットワーク

企業ネットワークでは、境界防御、内部ネットワーク監視、端末防御、認証強化、ログ監査を組み合わせます。外部からの攻撃だけでなく、内部端末の感染、認証情報の悪用、権限の過剰付与も対象にします。

• 境界でファイアウォール、WAF、VPN、メールセキュリティを使う。
• 内部でIDS/IPS、ネットワーク分離、通信監視を行う。
• 端末でEDR、パッチ適用、デバイス制御を行う。
• 認証で多要素認証、シングルサインオン、特権ID管理を使う。
• ログを集約し、インシデント対応手順と結びつける。

クラウド環境

クラウド環境では、クラウド事業者と利用者の責任分担を前提に設計します。クラウド事業者が基盤を保護していても、利用者側の設定ミス、権限管理、公開範囲、ログ確認が不十分であればリスクは残ります。

• IAMで必要最小限の権限を設定する。
• 管理者アカウントに多要素認証を適用する。
• ストレージやデータベースの公開設定を確認する。
• 監査ログを有効化し、異常な操作を確認する。
• バックアップと復旧手順を確認する。

リモートワーク環境

テレワークやリモートアクセスでは、社外から社内システムやクラウドサービスへ接続するため、認証、端末管理、通信制御、ログ監視を組み合わせます。

• VPNやZTNAなど、接続方式に応じた認証・アクセス制御を行う。
• 業務端末のOS更新、EDR、デバイス制御を維持する。
• クラウドサービスへのアクセスに多要素認証を適用する。
• 不審なログイン、通常と異なる場所からの接続、権限変更を監視する。

個人利用

個人利用でも、多層防御の考え方は使えます。OSやアプリの更新、パスワードマネージャー、多要素認証、セキュリティソフト、バックアップを組み合わせることで、フィッシング、マルウェア感染、アカウント乗っ取りの影響を下げられます。

多層防御とゼロトラストの関係

ゼロトラストは、社内外の境界だけを信用せず、利用者、端末、アプリケーション、アクセス状況を継続的に確認する考え方です。多層防御とは対立するものではありません。多層防御が複数の防御層を組み合わせる設計であるのに対し、ゼロトラストはアクセス判断の前提を見直す考え方です。

実務では、ゼロトラストの考え方に基づいて認証・認可を強化しながら、端末防御、ログ監査、ネットワーク制御、データ保護を組み合わせます。境界防御だけに依存しない設計にするほど、多層防御の中で認証、端末状態、権限、監視の重要性が高まります。

多層防御を運用する際の注意点

対策の積み増しだけでは効果が出ない

製品や機能を増やしても、役割が整理されていなければ運用負荷だけが増えます。アラートが多すぎて確認できない、似た機能を複数製品で重複運用している、重要なログが見られていない、といった状態では効果が限定されます。

例外ルールを放置しない

一時的な許可設定、退職者のアカウント、過剰な管理者権限、古いVPNアカウントなどは、多層防御の穴になります。例外を作る場合は、有効期限、承認者、見直し日を設定します。

ログを確認する体制を作る

ログを取得しても、誰も確認しなければ検知層として機能しません。アラートの優先順位、一次確認者、対応時間、エスカレーション条件を決めておく必要があります。

復旧まで含めて設計する

多層防御は防御だけで終わりません。攻撃や障害が発生した場合に備え、バックアップ、復旧手順、連絡網、訓練を用意します。特にランサムウェア対策では、バックアップの取得だけでなく、復旧できるかの確認が必要です。

多層防御の効果を確認する方法

• 脆弱性診断：外部公開システム、社内システム、クラウド設定の弱点を確認する。
• ペネトレーションテスト：攻撃者の視点で、複数の防御層が実際に機能するか確認する。
• ログ分析：検知すべきイベントが記録され、確認されているかを確認する。
• インシデント対応訓練：検知後の連絡、判断、隔離、復旧、公表判断が機能するか確認する。
• 権限棚卸し：不要な権限や退職者・異動者のアカウントが残っていないか確認する。

効果確認では、「導入済みか」ではなく「攻撃や障害が起きたときに機能するか」を見ます。設定、ログ、対応手順、復旧訓練まで確認することで、防御層の実効性を判断できます。

参考資料

• CISA：Layering Network Security Through Segmentation
• NIST CSRC Glossary：Defense-in-Depth
• NIST：Cybersecurity Framework

まとめ

多層防御は、複数の防御層を組み合わせ、一つの対策が突破された場合でも別の層で検知・遮断・被害抑制を図る考え方です。ファイアウォール、IDS/IPS、EDR、脆弱性管理、アクセス制御、多要素認証、ログ監査、教育、復旧手順を、守る情報資産と想定脅威に合わせて配置します。

重要なのは、対策を増やすことではなく、各層の役割と責任を明確にすることです。運用できない防御層は実効性を持ちません。既存対策の過不足を確認し、重要な情報資産から優先して、検知、対応、復旧まで含めた多層防御を設計してください。