← サイバーセキュリティ 一覧

🎓 レベル：発展　|　重要度：B（推奨） 📎 前提：ファイアウォールとセグメンテーション

要点（BLUF）

• 個別の対策（FW・IDS/IPS・VPN・分割）を1枚の設計に束ねるのがこのトピック。多層防御をネットワーク全体に展開する。
• 核となる構造は DMZ（緩衝地帯）・多層配置・最小到達性・可視性。公開と内部の間に層を置き、被害を段階的に止める。
• 流れは境界型からゼロトラストへ。境界も残しつつ、内部でも継続検証する「両構え」が現実的（要最新確認）。

概念：部品から「全体設計」へ

ここまでの3トピック（ファイアウォールとセグメンテーション・IDS/IPSと検知・VPNと暗号化通信）は部品でした。実際の守りは、それらをどこに・どの順で・どう連携させて置くかという全体設計で決まります。設計の指針は多層防御（リスク評価と多層防御）と最小権限（セキュリティ設計原則）です。

仕組み：DMZ と多層配置

インターネットに公開するサーバ（Web・メール）を内部ネットワークに直接置くのは危険です。そこで**DMZ（非武装地帯）**という緩衝セグメントを設けます。

• 外側ファイアウォール：インターネット → DMZ を最小開放。
• DMZ：公開サーバだけを置く。ここが侵害されても…
• 内側ファイアウォール：DMZ → 内部を厳格に制限。公開サーバから内部の機密へは限られた経路だけ。

この二段構えで、公開サーバが乗っ取られても内部機密への到達を阻みます。

flowchart LR
    NET["インターネット"] -->|"外側FW：最小開放"| DMZ["DMZ（公開Web・メール）"]
    DMZ -->|"内側FW：厳格制限"| INT["内部業務セグメント"]
    INT -->|"最小経路のみ"| DATA["機密データセグメント"]
    IDS["IDS/IPS・ログ集約"] -.->|"全層を監視"| DMZ
    IDS -.-> INT
    IDS -.-> DATA

仕組み：設計の4原則

• 最小到達性（least reachability）：各資産に「届ける必要がある相手」だけが届く。残りは既定拒否。
• 多層（defense in depth）：予防（FW・分割）・検知（IDS/IPS・ログ）・暗号化（VPN/TLS）を重ねる。
• 可視性（visibility）：どこで何が起きているかを観測できる。ログとフローを集約（ログと監視（SIEM/SOC））。
• 封じ込め（containment）：侵害が起きても区画内に閉じ込め、横移動を止める（セグメンテーション）。

概念：境界型からゼロトラストへ

従来は「外と内を境界で分け、内側は信頼」する境界型でした。クラウド・在宅・内部不正の前ではこれだけでは不十分で、ゼロトラスト（アクセス制御モデルとゼロトラスト）の発想――位置で信頼せず、アクセスごとに検証――を取り入れます。とはいえ境界防御が無価値になるわけではなく、境界（DMZ・FW）＋ゼロトラスト（継続検証・マイクロセグメンテーション）の両構えが現実解です（要最新確認）。

防御側の使い方／設計手順

1. 資産を分類する：公開・業務・機密に分け、価値（CIA＝情報セキュリティとは（CIAとAAA））を決める。
2. セグメントを切る：価値ごとに区画化し、境界にファイアウォールを置く（既定拒否）。
3. 公開面は DMZ へ：外向けサーバを内部から隔離する。
4. 検知と可視性を全層に：IDS/IPS とログ集約を配置し、SIEM へ。
5. 暗号化を必須に：拠点間・リモートは VPN、アプリ通信は TLS。
6. ゼロトラスト要素を足す：強い認証・端末健全性・アクセスごとの認可。
7. 見直す：構成変更のたびに到達性と攻撃面を再評価（脅威モデリング＝脅威モデリング（STRIDEと攻撃面））。

なぜ安全か：層・区画・可視性の相乗

全体設計が効くのは、性質の違う守りが相補的に働くからです。FW で届く通信を絞り（攻撃面）、DMZ と分割で被害を区画に閉じ込め（封じ込め）、IDS とログで気づき（可視性）、暗号で盗聴・改ざんを防ぐ（機密性・完全性）。どれか一つが破られても、別の層が次の一手を止める――これが多層防御をネットワークに具体化した姿です。

仕組みの直観

ネットワーク防御の設計は城の縄張りです。外堀（外側 FW）、城下の出入り口に番所（DMZ）、本丸へは内堀と門（内側 FW）、各曲輪は仕切られ（セグメント）、櫓から全体を見張る（IDS・ログ）。一つの門が破られても次の堀と門で食い止め、見張りが異変を知らせる。城は「一枚の高い壁」ではなく「層と区画と見張りの総体」で守られます。

⚠️ よくある誤解・設定ミス

• 公開サーバを内部に直置き：DMZ が無いと、公開面の侵害が即内部機密に届く。
• 境界だけ固めて内部はフラット：一点突破で全域に横移動。内部も分割・検証する。
• 可視性の欠如：ログ・フローを集約していないと、起きても気づけない（ログと監視（SIEM/SOC））。
• ゼロトラストか境界かの二者択一：両構えが現実的。境界を捨てない、内部も信頼しない。
• 設計を更新しない：クラウド移行・新サービスで到達性が変わる。都度、脅威モデリングで再評価。

対応 lab

全体設計は実機構成が前提のため lab は置きません。設計演習（DMZ・セグメント・最小到達性）は security-study/exercises/ に記録します。

関連

• 構成部品 → ファイアウォールとセグメンテーション・IDS/IPSと検知・VPNと暗号化通信
• 検知・対応の運用 → 防御運用とインシデント対応 目次
• 上位の発想 → アクセス制御モデルとゼロトラスト