用語集 › 🔒 セキュリティ › ハードニング
【ハードニング】

ハードニング とは?

💡 システムの鎧を一枚ずつ重ねる! 弱点を塞いで鉄壁にする防御術
📌 このページのポイント
ハードニング(多層防御アプローチ) ネットワーク層 不要ポート閉鎖 / FW設定 OS層 不要サービス停止 / パッチ適用 ミドルウェア層 ヘッダー設定 / TLS強化 アプリケーション層 デフォルトアカウント削除 エラーメッセージ抑制 攻撃 🛡 🛡 🛡 CISベンチマーク / STIGなどの標準チェックリストに沿って実施
ハードニングのイメージ
ひよこ ひよこ

ハードニングって何をするの?

ペンギン先生 ペンギン先生

システムの設定を見直して、攻撃されにくい状態にすることだよ。たとえば家のセキュリティで言うと、使わない窓は板で塞いで、鍵を二重にして、暗証番号をデフォルトから変更する、みたいなイメージだね。

ひよこ ひよこ

初期設定のままだとダメなの?

ペンギン先生 ペンギン先生

けっこう危険だよ。OSやソフトウェア初期設定は「使いやすさ」を優先しているから、不要なサービスが動いていたり、デフォルトパスワードのままだったりするんだ。攻撃者はまずそういう甘い設定を狙ってくるよ。

ひよこ ひよこ

具体的にはどんなことをするの?

ペンギン先生 ペンギン先生

レイヤーごとに対策するよ。OSレイヤーなら不要なサービスの停止やファイアウォール設定、ネットワークなら不要ポートの閉鎖、アプリケーションならデフォルトアカウントの削除やエラーメッセージの抑制だね。全部で数十〜数百項目になることもあるよ。

ひよこ ひよこ

そんなにたくさん! 何を基準にやればいいの?

ペンギン先生 ペンギン先生

CISベンチマークという業界標準のチェックリストがあるよ。WindowsLinuxAWSDockerなど技術ごとに具体的な設定項目がまとまっていて、「この設定をこう変えなさい」と手順まで書いてあるんだ。まずはこれに沿って進めるのが定石だね。

ひよこ ひよこ

一回やれば安心なの?

ペンギン先生 ペンギン先生

いい質問だね。ハードニングは一度やって終わりじゃなくて、継続的に見直す必要があるよ。新しい脆弱性が見つかったり、ソフトウェアアップデートしたりすると設定が変わることがあるからね。定期的な監査も大事だよ。

ひよこ ひよこ

クラウドでもハードニングは必要なの?

ペンギン先生 ペンギン先生

むしろクラウドこそ重要だよ。S3バケットの公開設定ミスで情報漏洩する事件が後を絶たないんだ。IAMの最小権限設定、セキュリティグループの制限、暗号化の有効化など、クラウド特有のハードニング項目もたくさんあるよ。

ひよこ ひよこ

ハードニングって奥が深いんだね!

ペンギン先生 ペンギン先生

そうだね。ちなみに日本では「Hardening競技会」というセキュリティイベントがあって、チーム対抗でサーバーのハードニングを競うんだ。攻撃チームが侵入を試みる中、制限時間内にどれだけ堅牢にできるかを競うんだよ。実践的なスキルが身につくから、セキュリティに興味がある人にはおすすめだね。

ペンギン
まとめ:ざっくりこれだけ覚えればOK!
「ハードニング」って出てきたら「システムの設定を引き締めて攻撃に強くすること」と思えればだいたいOK!
📖 おまけ:英語の意味
「Hardening」 = 硬化・堅牢化
💬 harden は「硬くする・強化する」という意味で、システムを攻撃に対して「硬く」するイメージから来ているよ
🔗 あわせて読みたい
← 用語集にもどる