多層防御 【defense in depth】

概要

多層防御(defense in depth)とは、企業などの組織における情報セキュリティの対策方針の一つで、システム内の複数の構成要素や攻撃者の活動の複数の局面に対して、何重にも防御策を講じること。

情報システムの防御について「ネットワーク境界で侵入を阻止する」といった単一の技術要素や攻撃局面のみで対策しようとするのではなく、「インターネット利用端末と重要システムネットワークが分離されている」「一般ユーザーアカウントを乗っ取っても機密情報へのアクセス権限は無い」といった具合に攻撃の各段階に対応した重層的な対策をうことを指す。

一般的な方針としては、入口対策、内部対策、出口対策の三階層で防御することが多い。入口対策はセキュリティ上の脅威をネットワーク内に侵入させない対策で、ファイアウォールパケットフィルタリングIDS/IPSによる侵入検知・防御、アンチウイルスマルウェア検知システムなどが用いられる。

内部対策は脅威の侵入を許してしまった際に被害の拡大を最小限に抑えるための対策で、端末利用者の分離、アクセス権の限定、重要資産の隔離、ログ管理、システム監視、エンドポイントセキュリティの導入、ゼロトラスト化などが該当する。

出口対策はシステム内部での攻撃活動から外部への情報送信を検知、阻止する対策で、重要データ暗号化アクセス制限(一度に取り出せる件数の制限など)、ファイアウォールIDS/IPSによる外向きの通信の監視や不審な通信の遮断などがある。外部の他のシステムへの不正アクセスウイルス送信などのために自社システムが「踏み台」にされないための対策でもある。

似た概念に「多重防御」があり、多層防御の同義語とする場合もあるが、一般的には侵入防止策を複数重ねる場合など、同じ機器や同じ局面で複数の防御策を組み合わせることを指し、多層防御とは区別されることが多い。

(2021.5.12更新)

他の辞典による解説 (外部サイト)

この記事の著者 : (株)インセプト IT用語辞典 e-Words 編集部
1997年8月より「IT用語辞典 e-Words」を執筆・編集しています。累計公開記事数は1万ページ以上、累計サイト訪問者数は1億人以上です。学術論文や官公庁の資料などへも多数の記事が引用・参照されています。
ホーム画面への追加方法
1.ブラウザの 共有ボタンのアイコン 共有ボタンをタップ
2.メニューの「ホーム画面に追加」をタップ
閉じる