多層防御とは

多層防御は、セキュリティ制御が失敗したり、脆弱性が悪用された場合に、複数の冗長な防御対策を提供する情報保証戦略です。 これは、強力な防衛線でそれを倒すのではなく、攻撃の前進を遅らせることを目的とする同じ名前の軍事戦略に由来しています。

多層防御サイバーセキュリティユースケースには、エンドユーザーのセキュリティ、製品設計、ネットワークセキュリティが含まれます。

深さの防衛への反対の原則は、あまりにも多くのセキュリティ対策が攻撃者が活用できる問題やギャップを導入する可能性があるという前提の下で動作するsimplicity-in-securityとして知られています。

Defense-in-depth architecture:Layered security

Defense-in-depth security architectureは、ネットワークの物理的、技術的、および管理的側面を保護するように設計されたコントロールに基づいています。

多層防御、階層化セキュリティアーキテクチャ

• 物理制御–これらの制御には、警備員やロックされたドアなどのITシステムへの物理的なアクセスを防止するセキュリティ対策が含まれています。
• 技術的な制御–技術的な制御には、ファイアウォールアプライアンスやウイルス対策プログラムなどの特殊なハードウェアまたはソフトウェアを使用
• 管理コントロール–管理コントロールは、機密情報を”機密”としてラベル付けするようにユーザーに指示するなど、組織の従業員に向けられたポリシーまたは手順で構成されるセキュリティ対策です。

さらに、次のセキュリティ層は、ネットワークの個々のファセットを保護するのに役立ちます。

• アクセス対策–アクセス対策には、認証制御、バイオメトリクス、時限アクセス、VPNが含まれます。
• ワークステーションの防御–ワークステーションの防御対策には、ウイルス対策およびスパム対策ソフトウェアが含まれます。
• データ保護–データ保護方法には、保存中のデータの暗号化、ハッシュ、安全なデータ送信、暗号化されたバックアップが含まれます。
• 境界防御–ネットワーク境界防御には、ファイアウォール、侵入検知システム、侵入防止システムが含まれます。
• 監視と防止–ネットワーク攻撃の監視と防止には、ネットワークアクティビティのログ記録と監査、脆弱性スキャナ、サンドボックス化、セキュリティ意識

多層防御情報保証: ユースケース

大まかに言えば、多層防御のユースケースは、ユーザー保護シナリオとネットワークセキュリティシナリオに分けることができます。

Webサイト保護

多層防御ユーザー保護には、セキュリティ製品（WAF、ウイルス対策、スパム対策ソフトウェアなど）の組み合わせが含まれます。 脅威をブロックし、重要なデータを保護するためのトレーニング。

サイバー攻撃からエンドユーザーを保護するためのソフトウェアを提供するベンダーは、同じ製品に複数のセキュリティ製品をバンドルするこ 例えば、ウイルス対策、ファイアウォール、スパム対策、プライバシーコントロールをまとめてパッケージ化することができます。その結果、ユーザーのネットワークはマルウェア、webアプリケーション攻撃（XSS、CSRFなど）に対して保護されます。

ネットワークセキュリティ

• 組織はファイアウォールを設定し、さらにネットワークを流れるデータを暗号化し、保存中のデータを暗号化します。 攻撃者がファイアウォールを通過してデータを盗んでも、データは暗号化されます。
• 組織は、ファイアウォールを設定し、訓練を受けたセキュリティオペレータと侵入保護システムを実行し、ウイルス対策プログラムを展開します。 攻撃者がファイアウォールを通過した場合でも、IPによって検出されて停止することができます。 彼らはエンドユーザーコンピュータに到達し、マルウェアをインストールしようとすると、それが検出され、ウイルス対策によって削除することができます。

Imperva defense-in-depth solutions

Impervaは、データとネットワークを保護するための複数の防衛ラインを提供する、多層セキュリティソリューションの完全なスイートを提

当社のデータセキュリティソリューションには、データベースの監視、データマスキング、脆弱性の検出が含まれています。 一方、当社のweb対応ソリューション、つまりWAFおよびDDoS保護は、ネットワークがすべてのアプリケーション層攻撃や煙幕DDoS攻撃から保護されるようにします。