編集 NTT東日本編集部

サイバー攻撃による被害が多く報告されている昨今、セキュリティリスク低減のため、複数の対策を講じている企業は多くあります。このような、複数の対策を打ってサイバー攻撃を防ぐ方法を「多層防御」と言います。

今回の記事では、多層防御の概要について解説します。多重防御との違いや、多層防御として実施すべき具体的な対策も紹介しますので、ぜひ参考にしてください。

多層防御とは？多重防御との違いも解説

多層防御とは一体どのような対策を指すのでしょうか。ここでは、多層防御の概要や、多重防御との違いを詳しく解説します。

多層防御とは？

多層防御とは、セキュリティ対策を複数講じて、サイバー攻撃の被害に遭うリスクを最小化することです。通常、パソコンやサーバーなどへのサイバー攻撃は、侵入・攻撃・情報の破壊や持ち出し、といった流れで行われます。多層防御では、これらの攻撃フェーズに対して、それぞれ適した対策を講じます。

複数の層で適切な対策を行うことで、攻撃をブロックしたり、被害発生までの時間稼ぎをして原因追及・対応を行ったりと、できるだけ被害の拡大を防ぐ体制の構築が可能です。

多重防御との違い

多層防御とよく混同される言葉として、多重防御があります。多重防御とは、脅威が侵入する前段階で複数のセキュリティ対策を講じ、攻撃をブロックすることです。

多層防御は侵入されたことも想定して対策を打つのに対して、多重防御は侵入前のみの対策に集中していることが大きな違いです。

多層防御の必要性【巧妙化するサイバー攻撃への対策】

2023年3月に警視庁が発表した「令和４年におけるサイバー空間をめぐる脅威の情勢等について」によると、2022年のランサムウェアの被害報告件数は230件と、前年よりも57.5％増加したことが明らかになりました。ランサムウェアの被害は、2020年下半期から右肩上がりで増加しています。

また、2022年のフィッシング詐欺の報告件数は96万8,832件と、前年よりも84.0％も増加し、あらゆるサイバー攻撃の被害件数が急増していることがわかります。

2022年には、国内の自動車企業がサイバー攻撃を受けて、生産・販売活動の停止を余儀なくされた事件がありました。また、医療機関の電子カルテシステムに障害が確認され、手術の延期や外来診療・救急外来の受け入れを一定期間停止した事例もあります。

このように、企業・団体の規模や業種に関わらず、さまざまなサイバー攻撃の被害が報告されています。中には社会インフラの機能が停止・低下し、人々の生活に大きな影響を与えた事件も発生しました。今後もサイバー攻撃の種類は増え、手口も巧妙化していくと考えられます。そのため、複数のセキュリティ対策を打ち、最悪の場合に備えておくことが重要です。

参考：令和４年におけるサイバー空間をめぐる脅威の情勢等について｜警視庁

多層防御の3つの対策範囲

「侵入」「攻撃」「情報漏えいや持ち出し」というサイバー攻撃の3つのフェーズで対策を講じ、多層防御を行うのが重要です。ここでは多層防御で対策すべき3つの範囲について解説します。

侵入を防ぐ入口対策

多層防御における入口対策は、ウイルスやマルウェアなどの脅威の侵入を防ぐ対策です。多層防御における第一の対策になります。

一般的には、通信可否を判断するファイアウォールや、詐欺メールを検知して自動仕分けを行うメールフィルタリングなどが代表的な対策として挙げられます。他にも、さまざまなセキュリティ機能を集約したUTM（統合脅威管理）や、IDS（不正侵入検知システム）・IPS（不正侵入防止システム）による不正侵入の検知も効果的です。

拡大を防ぐ内部対策

内部対策は、入口対策で脅威の侵入を防ぎきれず、不正アクセスされた後のことを考えた、第二の対策です。社内ネットワークに万が一侵入されたとしても、情報破壊・漏えいなどの被害が出る前に対処できるような対策が講じられます。

また、もし被害が生じたとしても、内部対策による早急な対応によって被害の最小化や早期復旧にもつながります。内部対策は、ウイルス対策ソフトやEDR（Endpoint Detection and Response）の導入、異常を検知・通知するログ監視などが代表的です。

漏えいを防ぐ出口対策

第三の対策である出口対策は、多層防御の最終ラインです。何らかの脅威が侵入した後に、情報漏えいや情報破壊などの被害を防ぐための対策を指します。機密情報を外部に持ち出す動きを検知してブロックするのが役割です。

例えば、個人情報の漏えいや破損を防ぐDLP（データ損失防止）が有効的な対策です。代理でインターネットにアクセスするプロキシサーバーを導入し、認証のない通信をブロックする方法も挙げられます。

多層防御の各層で実施すべきセキュリティ対策12選

多層防御の3つの範囲では、それぞれ適した対策が異なります。ここでは、入口対策・内部対策・出口対策において実施すべきセキュリティ対策を紹介します。

入口対策に有効な対策5選

入口対策は、脅威の侵入を許すかどうかを左右する重要なポイントです。ここでは侵入をブロックする入口対策として効果的な5つの対策を紹介します。

ファイアウォール

ファイアウォールは、ネットワークの出入り口に設置し、外部から内部への不正な侵入の遮断や、内部から外部への不正アクセスの禁止によって、ネットワークを脅威から守る装置を指します。

元々は、ファイアウォールは火災が発生した際に被害を最小限に食い止める防火壁を指していました。そこから、外部攻撃や、不正なアクセスをブロックするための装置が、ファイアウォールと呼ばれるようになりました。

メールフィルタリング

メールはサイバー攻撃の代表的な感染経路の1つです。
そこで、被害に遭う可能性があるスパムメールの仕分けを自動で行うフィルタリング機能の活用が有効だとされています。

また、フィルタリング機能の活用以外にも「送信元がわからないメールは開かずに削除する」「怪しいURLや添付ファイルはクリックしない」などの社内ルールを設けておくのも1つの手です。
加えて、メールの添付ファイルをダウンロードする際には、アンチウイルスツールでのスキャンを欠かさず行うようにしましょう。

UTM

UTMは「統合脅威管理」や「統合型脅威管理」とも呼ばれ、さまざまなセキュリティ機能を1つの機器に集約して運用することで、包括的に社内ネットワークを守る手法です。ファイアウォールやアンチウイルス、スパムメール対策などの機能を統合して、外部と社内のネットワークの間に設置します。

UTMの導入は、セキュリティ対策強化だけでなく、コスト低減やシステム管理者の負担軽減といったメリットもあります。

IDS（不正侵入検知システム）／IPS（不正侵入防止システム）

IDSは、不正アクセスや異常な通信を検知して、管理者に通知するシステムを指します。IDSの検知方法には2種類あり、1つは事前に登録した侵入手口と同様のパターンでの侵入があった際に検知する方法（不正検出）です。もう1つは、ネットワーク内で異常な不正パケットを検知した際に、その行動すべてを検知する方法（異常検出）です。

IPSは、不正アクセスや不審な挙動などを検知した際に、通信の遮断を自動で行うシステムを指します。不正アクセスや攻撃のパターンを比較して、被害に遭う可能性があると判断したら、自動的に通信をブロックします。

サンドボックス

攻撃されても影響の出ない領域（サンドボックス）を構築して、その中で不審なファイルを実際に動かして、確認・検証を行う方法も、入口対策として効果的です。

具体的には、メールの本文内のURLのクリックや、添付ファイルの実行などの作業をサンドボックス内で行います。また、マルウェアを仮想環境で実行して、実際の活動を分析し、悪意の有無を判定するケースもあります。サンドボックスは、入口対策だけでなく、内部対策としても有効です。

内部対策に有効な対策4選

もし何らかの脅威の侵入を許してしまったときのために、被害拡大を抑える内部対策の実施が必要です。ここでは、内部対策として有効的な4つの対策を紹介します。

ウイルス対策ソフト

ウイルス対策ソフトは、脅威の可能性のあるウイルスやマルウェア、不正アクセスなどを検知して、排除するソフトウェアです。ID・パスワードの情報を盗もうとするフィッシング詐欺や、スパムメールへの対策など、ウイルスブロック以外の機能を搭載したソフトも増えています。

ログ監視

ログ監視は、パソコンやタブレット、スマートフォンなどの端末、サーバー、アプリケーションなどで実施された操作を監視する手法です。例えば、不正アクセスやデータの持ち出しなど、感染拡大や情報漏えいの可能性のある動作を検知します。脅威の侵入によって被害が発生した際には、原因の追及や分析にも役立ちます。

ネットワーク分離

インターネットに接続するネットワークと基幹系のネットワークを分離して、外部との接点をなくして被害の拡大を防ぐ方法を、ネットワーク分離と言います。インターネットに接続する端末と、基幹系ネットワークの端末を物理的に分離する方法と、プロトコル（通信に関する規格）を制限して、論理的に分離する方法があります。

ネットワーク分離によって、インターネットに接続されたネットワークがサイバー攻撃を受けたとしても、重要なデータを多く抱えている基幹系ネットワークへの感染の予防が可能です。

EDR

EDRは、パソコンやスマートフォン、サーバーなどのエンドポイント上の不審な挙動を検知して、迅速な対処ができるように支援するセキュリティ対策ソフトです。

パソコンやサーバーの状況や外部との通信内容を監視して、異常な通信や不審な挙動があれば管理者に通知する仕組みです。管理者は通知を受けた後、EDRが分析したログをもとに対処します。

出口対策に有効な対策3選

脅威の侵入を許してしまった場合、情報の破壊や漏えいを防ぐために迅速に対処する必要があります。ここでは、多層防御の最終ラインである出口対策として、有効な3つの対策を紹介します。

プロキシサーバー

クライアントとサーバー間の通信を中継する役割を担うサーバーを、プロキシサーバーと呼びます。プロキシサーバーは、クライアントからのリクエストやサーバーからのレスポンスの把握が可能です。そのため、詳細な通信内容をログで残したり、Webサーバーから送られてきたコンテンツをチェックして、マルウェアが含まれていないかを確認したりできます。

不正な通信をブロックする機能を実装したプロキシサーバーの設置は、出口対策として有効です。ウイルススキャンの機能も実装すると、入口対策としても利用できます。

DLP（データ損失防止）

DLP（データ損失防止）は、情報の漏えいや破損、消去などを防止するためのツールや一連の戦略を指します。データの識別、漏えいデータの特定、メール送信やコピーなどの疑わしい行動のブロックといった方法があります。

ファイルの暗号化

ファイルの暗号化は、データ形式のファイルを暗号化することで閲覧や改ざんができないようにする対策です。データの持ち出しを許してしまったとしても、暗号化されていたら第三者は内容を確認できません。機密情報や個人情報などの重要な情報を保護できる有効な対策です。

巧妙化するサイバー攻撃には多層防御で十分な対策を

サイバー攻撃は年々多様化し、手口も巧妙化しているため、1つの対策のみで完全に防ぐのは不可能です。そこで、侵入前のブロックだけでなく、侵入された場合も想定した多層防御を行い、強固なセキュリティ体制を構築しましょう。

NTT東日本の「おまかせサイバーみまもりセキュリティパッケージ」なら、1つのサービスで侵入前から侵入後の包括的な対策が可能です。ウイルス侵入の検知や防御だけでなく、感染時の早期発見や対応もお任せください。万が一ウイルス感染が疑われる場合は、プロによる調査・復旧支援まで行います。

また、「おまかせサイバーみまもりセキュリティパッケージ」は、プロが通信状況をモニタリングして、不正な通信が発生した際には迅速にお客さまへ連絡します。ウイルス感染の可能性のある端末の隔離や、ウイルス駆除も遠隔でサポート。サイバー保険が標準付帯され、万が一マルウェア感染した際の調査・復旧などにかかった費用を一部補償します。

サイバー攻撃への対策として多層防御の構築をお考えなら、NTT東日本のサービスがおすすめです。ホームページでサービス資料を提供中なので、興味のある方はぜひ一度ご確認ください。

まとめ

多層防御とは、サイバー攻撃に対してセキュリティ対策を複数講じて、被害を受けるリスクを最小化する手法です。複数の層での対策によって、侵入ブロックや攻撃への時間稼ぎができ、より強固なセキュリティ体制を構築できます。

多層防御は、脅威の侵入を防ぐ入口対策、被害拡大を防ぐ内部対策、情報漏えいを防ぐ出口対策の3つのレイヤーに分けられます。各レイヤーにおいて適した対策を講じるのが重要です。

NTT東日本では、ログ監視により脅威から守る入口対策と、脅威の侵入を検知して早期対応を行う内部対策の両方に対応した、「おまかせサイバーみまもりセキュリティパッケージ」を提供しています。多層防御で企業のセキュリティ体制を強化したいなら、ぜひNTT東日本のサービスをご検討ください。

関連サービス

資料ダウンロード

関連するコラム

• コラムをもっと読む