← サイバーセキュリティ 一覧

🎓 レベル：標準　|　重要度：A（必須） 📎 前提：脅威モデリング（STRIDEと攻撃面）

要点（BLUF）

• 守りは無限にはできない。リスク＝起こりやすさ×影響で見積もり、効く順に資源を割り当てる。
• **多層防御（defense in depth）**は、予防・検知・対応の層を重ねて「一枚破られても全滅しない」状態を作る考え方。
• 目標はゼロリスクではなく、受容できる水準までリスクを下げること（残留リスクの管理）。

概念：リスクは「起こりやすさ×影響」

脅威モデリング（脅威モデリング（STRIDEと攻撃面））で脅威を列挙したら、次はどれから手を打つかを決めます。すべてに同じ労力はかけられないからです。基本式は次の通りです。

起こりやすさが低くても影響が壊滅的なら高リスク、影響が小さくても日常的に起きるなら無視できない、というように2軸で見ます。これでリスクを並べ替え、上位から対処します。

対応の選択肢は4つです。

• 低減（mitigate）：対策を入れてリスクを下げる（多くの技術的対策）
• 移転（transfer）：保険や外部委託でリスクを移す
• 受容（accept）：コストに見合わないので承知の上で残す
• 回避（avoid）：その機能・資産自体をやめる

仕組み：多層防御（深層防御）

単一の対策はいつか破られます。だから守る側は性質の異なる層を重ねます。各層は「予防・検知・対応」の役割を分担します。

一枚の壁を高くするより、種類の違う壁を何枚も置く方が破られにくい。攻撃側はすべての層を連続して突破せねばならず、どこかの検知層に必ず触れるからです。

図解：層を重ねて全滅を防ぐ

flowchart LR
    A["攻撃の試み"] --> L1["予防層（認証・暗号・最小権限）"]
    L1 --> L2["検知層（ログ・IDS・監視）"]
    L2 --> L3["対応層（封じ込め・復旧・バックアップ）"]
    L3 --> G["資産（CIAを守る）"]
    L2 -.->|"異常を通報"| SOC["監視・対応チーム"]

予防層を抜けても検知層が気づき、対応層が被害を限定します。どの一層も完全である必要はないのが多層防御の強みです。

防御側の使い方：リスク順に層を配る

1. 資産に値札をつける：止まると困る・漏れると困る順。CIA のどれが重要かは 情報セキュリティとは（CIAとAAA）。
2. 脅威を当てて見積もる：起こりやすさ×影響でスコア化し並べる。
3. 上位から多層で守る：高リスク資産ほど予防・検知・対応を厚くする。
4. 残留リスクを記録して合意する：受容したリスクは「誰がいつ承知したか」を残す。
5. 見直す：環境も脅威も動く。定期的に再評価する（セキュリティガバナンスとフレームワーク（NIST CSF 2.0） の Identify/Govern）。

なぜ安全か：相関しない層は同時に破れにくい

多層防御が効くのは、層どうしの弱点が独立しているときです。たとえば「ネットワークでの遮断」と「アプリでの入力検証」は別原理なので、片方の見落としをもう片方が拾えます。逆に同じ仕組みの壁を二枚置いても、同じ穴で同時に抜かれます。性質の違う層を選ぶことが、相関しない守りを作るコツです。

仕組みの直観

銀行の守りを思い浮かべると分かりやすい。入口の警備員（予防）、防犯カメラ（検知）、金庫室の時間ロックと警察通報（対応）。強盗が警備員を欺いても、カメラが記録し、金庫が時間で開かず、通報が走ります。どれか一つではなく、全部を順に突破しないと盗めないように積み重ねるのが深層防御です。

⚠️ よくある誤解・設定ミス

• ゼロリスクを目指す：不可能でコストが発散する。目標は受容水準まで下げること。
• 同種の対策を重ねる：似た製品を並べても弱点が相関し、層になっていない。
• 予防だけで検知・対応がない：破られたとき気づけず止められない。検知・対応は 防御運用とインシデント対応 目次。
• 受容リスクを暗黙にする：誰も承知していない「なんとなく放置」は事故時に責任が宙に浮く。

対応 lab

概念回のため専用 lab はありません。予防層の具体（暗号による機密性・完全性）は第2章 security-study/labs/ の各デモで体験できます。

関連

• 対策を選ぶときの普遍原則 → セキュリティ設計原則
• 組織として回す枠組み → セキュリティガバナンスとフレームワーク（NIST CSF 2.0）
• 検知・対応の実務 → ログと監視（SIEM/SOC）・インシデント対応のプロセス