多層防御（Defense in Depth）とは何ですか？

複数のセキュリティ対策を層状に配置し、1つの防御が突破されても次の層で食い止めるセキュリティ戦略。

多層防御（Defense in Depth）のポイントは？

1つの対策に頼らず、複数の防御層を組み合わせる考え方。ネットワーク層、ホスト層、アプリケーション層、データ層の各レベルで防御。ゼロトラストセキュリティの基盤となる概念。IPA試験やCISSPなどセキュリティ資格で頻出

【たそうぼうぎょ】

💡 城の「堀→城壁→天守閣」のように何重にも守る

📌 このページのポイント

多層防御のイメージ

ひよこ

具体的にどんな層があるの？

ペンギン先生

外側から順に、①物理セキュリティ（入退室管理）、②ネットワーク（ファイアウォール、IDS/IPS）、③ホスト（EDR、パッチ管理）、④アプリケーション（WAF、入力検証）、⑤データ（暗号化、アクセス制御）、⑥人（セキュリティ教育）。攻撃者はすべての層を突破しないと目的を達成できないんだ

ひよこ

全部やるの？大変すぎない？

ペンギン先生

リスクに応じて各層の強度を調整するのが現実的だよ。重要なデータを扱うシステムは全層を厚くし、社内ツール程度なら一部を簡略化する。100点を目指すより「攻撃者のコストを上げる」ことが多層防御の本質だね

ひよこ

ペンギン先生

ゼロトラストは「誰も信頼しない」前提でアクセスの都度検証する考え方。多層防御は「1つの防御が破られても次がある」前提で複数の対策を重ねる考え方。両者は補完関係にあって、ゼロトラストアーキテクチャを実装する際に多層防御の考え方が基盤になるよ

ひよこ

失敗しやすいポイントは？

ペンギン先生

「ツールを入れただけで安心する」のが最大の失敗パターン。EDRを導入してもアラートを見る人がいない、ファイアウォールのルールが何年も更新されていない、セキュリティ教育が形骸化している…技術的な対策と運用的な対策の両方を継続的に改善し続けることが大事だよ

まとめ：ざっくりこれだけ覚えればOK！

「多層防御」って出てきたら「セキュリティ対策を何重にも重ねる考え方」と思えればだいたいOK！

📖 おまけ：英語の意味

「Defense in Depth」＝縦深防御・多層防御

💬 もともと軍事用語で、防衛線を多層に構築して敵の進攻を遅らせる戦略。サイバーセキュリティに応用されたよ