セキュリティ管理のメモ帳

セキュリティに関する備忘録

セキュリティ上の「多層防御」について

CISSP関連知識 リスクマネジメント

はじめに

 セキュリティリスクに対応するための各管理策を効果的に実装するためには、多層防御の考え方が欠かせません。今回は、多層防御についてまとめます。
 CISSPを受験する予定の方は、概念的な部分と多重防御との違いを理解しておいた方が良いと思われます。
 注)なお、本稿は筆者が文献の参照と経験に基づき独自に解釈した内容のため、認識が間違っている可能性があります。(誤りに気付いた方は、コメントいただけると幸いです)

多層防御とは?

 多層防御とは、特定のリスクに対応するために、そのリスクを低減させる(結果、又は起こりやすさを小さくする)ための異なる管理策を多層的に実装することで、管理策間の相乗効果や他の管理策による補完効果を期待する概念と筆者は解釈しています。

図1 多層防御の概念イメージ

 過去ブログベースライン管理策(セキュリティベースライン)についてで紹介したケイパビリティを把握するためには、この多層防御の概念を理解していることが前提になります。

blg8.hatenablog.com

具体的な実施例

 前項で述べた通り、多層防御は管理策を多層的に実装することでセキュリティケイパビリティを高めることを目的としています。
 その意図からは、次の3つの視点が考えられます。

  • 攻撃シナリオに基づく多層防御
  • 管理策の種別に基づく多層防御
  • 管理策の機能に基づく多層防御

 次項以降で、それぞれについて具体的に考えてみます。

1.攻撃シナリオに基づく多層防御

 多層防御という言葉は、大部分がこの視点で語られることが多いと思われます。
 従来のセキュリティ対策では、組織が保有する情報など、組織内部に存在する重要な資産を外部攻撃から保護するとの視点で考えられることが一般的でした。
 外部からの攻撃シナリオは、大まかに次の3ステップに分けることができます。

 1)初期侵入
   マルウェアが添付されたメールなどを送信し、組織内部に侵入する
 2)内部活動
   感染PCを外部から遠隔操作し、重要な情報を探し出し持ち出す準備をする
 3)情報送出
   収集した情報を外部に送信する

 上記、1)、2)、3)の各ステップの攻撃を入口だけでなく、内部や出口も含め予防・検知することで、入口をすり抜けられた場合でも攻撃者による最終目的(上記ケースでは情報の外部送信)達成の確率を大幅に下げることができます。
 これが、入口対策、内部対策、出口対策の各層における多層防御の概念です。イメージを下図に示します。

図2 攻撃シナリオに基づく多層防御のイメージ

2.管理策の種別に基づく多層防御

 上述に次いで多層防御として使われることが多いのがこの概念です。
 セキュリティリスクに対応するための管理策種別は、一般的に次のように分類されます。

 1)組織的管理策(Organizational controls)
   セキュリティのための体制構築、方針に関する管理策
 2)人的管理策( People controls)
   契約、採用などの要員の雇用や教育・訓練に関する管理策
 3)物理的管理策(Physical controls)
   区間管理、入退・監視などの物理的な侵入の防止・検知に関連する管理策
 4)技術的管理策(Technological controls)
   アクセス制御、ネットワーク、マルウェア対策などのICTに関連する管理策

 現状は、疑わしいメールを見分ける教育・訓練のような人的管理策を実施しても、その攻撃が巧妙化しており全てを防ぐことはできません。そのようなケースでは、メールフィルタリングやWebフィルタリングのような技術的管理策を併用(ORの関係)することで、人的脆弱性を補いインシデントの発生確率を抑える効果が期待できます。
 多層防御の例ではありませんが、管理策種別の組み合わせによっては、複数の管理策が同時に機能しないと効果を発揮しないケースも考えられますので参考までに紹介しておきます。例えば、技術的対策としてアクセス制御を行う場合、アクセス制御方針のような組織的対策が確立している前提でのみ双方の管理策は有効に機能します(ANDの関係)
 このように同じリスクへの対応又はセキュリティ目的を達成するための各管理策は、相互に作用することが多く、多層的にそれぞれが機能することにより多くの効果が得られます。
 上記で紹介した2つのケースのイメージを表すと下図のようになります。

図3 管理策の種別に基づく多層防御のイメージ

3.管理策の機能に基づく多層防御

 多層防御としてあまり触れられることのない概念ですが、個人的には、同一のリスクへの対応やセキュリティ目的を達成するために複数の管理策を実装する場合に、全体的な能力(セキュリティケイパビリティ)を算定する際に最も重要な考え方だと思っています。
 セキュリティ管理策がどのように機能するのかで分類すると、一般的に次のように分けられます。

 1)予防的管理策(preventive control)
  好ましくない結果につながる事象の発生を予防することを目的とした管理策
 2)検知的管理策(detective control)
  同じく事象の発生を検知することを目的とした管理策
 3)是正的管理策(corrective control)
  事象が発生してしまった場合に、結果を是正することを目的とした管理策

 上記の各管理策の関連性のイメージを下図に示します。

図4 管理策の機能に基づく多層防御のイメージ

 上図のように多層的に管理策の機能を実装することで、マルウェアの侵入を予防できず組織内のPCが感染してしまった場合でも、そのPCの疑わしい行動を検知し、適切に対処することでその後の侵害を止めることが可能です。
 加えて、例えば、二重脅迫型ランサムウェア対策では、攻撃者によるデータの暗号化を想定したオフラインバックアップ、データ窃取を想定したデータの暗号化を事前に実装しておくことで、攻撃を無効化することが可能です。バックアップや暗号化のような是正的管理策は、攻撃そのものを予防・検知することは出来ませんが、結果を変えることができるという点で有効な管理策です。

4.具体的な実施例

 ここでは、マルウェアからの保護を具体例として、個々の詳細管理策と管理策の種別及び機能の関連性をまとめたいと思います。
 ISMSに基づく管理策の指針として活用されることの多い ISO/IEC 27002:2022 では、マルウェアからの保護について次のように記載されています。

ISO/IEC 27002:2022 8.7 Protection against malware から引用

Purpose:
To ensure information and other associated assets are protected against malware.
管理目的:
情報およびその他の関連資産がマルウェアから確実に保護されるようにするため。

Control:
Protection against malware should be implemented and supported by appropriate user awareness.
管理策:
マルウェアからの保護は、利用者による適切な認識と併せて、実施する。

※)英語部分は原文から引用、日本語部分は、DeepLで翻訳した結果を筆者が修正

 上記、管理目的、管理策から具体的な詳細管理策とその種別及び機能の関連性をまとめたものが下表であり、一つの管理策を満たすために多層の種別、機能の観点から詳細管理策を配置しなければならないことが理解できると思います。

表1 マルウェアからの保護に関する詳細管理策とその分類例

多重防御について

 多層防御に似た概念に多重防御というものがあります。入口対策として同じ機能を持った管理策を多重に配置することにより予防・検知の網羅性を向上させるためのものです。例えば、マルウェア対策として、従来型のシグネチャベースの対策ツールをネットワークGW、サーバー、エンドポイントに導入する場合、同一ベンダ製で揃えるとシグネチャ及びその配布タイミングも同じになるため、漏れや遅れの発生が単一障害点的に脆弱性に直結する可能性があります。それを回避するためにそれぞれの箇所に異なるベンダの製品を分散配置することがあり、それを多重防御と呼ぶことがあります。
 一方、多くのセキュリティ製品やサービスでは、例えば、FW、IDS/IPS、Webフィルタリング、VPN-GWなど複数機能が提供されており、複数の製品を導入すると、意図せず機能が重複してしまうことがあります。このような場合は、費用対効果(無駄な管理策の重複)、ネットワーク負荷の増大など負のイメージとして多重防御という言葉が使われることもあります。

まとめ

 今回、このブログを投稿するにあたり、筆者の認識が間違っていないか「多層防御」というキーワードで検索し数件のサイトを確認しましたが、その結果、一部のサイトでは「多層防御はもう古い」、「多層防御だけでは防げない」との記述がありました。
 上記は、数年前から言われている「クラウドサービスとリモートワークの増加により、外部は危険、内部は安全という前提の境界防御が限界に達する」という趣旨のようです。図2のように「入口」、「内部」、「出口」の各領域を多層的に防御すること=境界防御というイメージを持ち、そのような文章になってしまっているのだと思いますが、重要なのは、内部対策を疎かにしないことと組織の外部に存在する情報及び支援資産(例えば、クラウドサービス上の情報やリモートワーク時のPC)のセキュリティ方針を確立することです。
 また、多層防御は従来の境界防御だけに適用されるものではなく、例えば、SASEであってもSWGやCASBのような個々の構成要素は脅威シナリオベースで考えると多層的に機能しており、マイクロセグメンテーションも多層防御の概念に反するものではありません。今後もその概念の重要性が変わることはないと考えます。

参考資料

 本稿は、以下のガイドラインを参考にしています。より詳細な情報が欲しい、正確性を重視したい等については以下を参照して下さい。

  • ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection — Information security controls

脚注