Defense Models and Strategies — Defense in Depth, Perimeter, and Zero Trust(防御の考え方)

article technology medium #cybersecurity#zero-trust#defense-in-depth#perimeter-security#assume-breach#lateral-movement#nist-sp800-207#security-architecture#ztna
Created: 2026-05-31 Updated:

多層防御・境界防御・内部防御・ゼロトラストという防御思想の変遷を俯瞰する。各モデルの前提・限界・移行ポイントを整理し、「侵害を前提とした設計(Assume Breach)」への実務的含意を提供する。

Defense Models and Strategies — Defense in Depth, Perimeter, and Zero Trust(防御の考え方)

「何をどう守るか」という問いへの答えは、脅威環境とネットワーク構造の変化に合わせて繰り返し書き換えられてきた。境界モデルから多層防御、そしてゼロトラストへと至る防御思想の変遷は、各時代の前提崩壊が次のモデルを生んだ歴史でもある。本記事ではその変遷を俯瞰し、現在のゼロトラスト原理の実践的な意味を地図化する。実装レベルの SASE・SSE アーキテクチャは tech-112 を参照。

防御思想の変遷 — なぜモデルが更新され続けるか

初期のコンピュータネットワークは物理的に閉じた環境であり、「外に出ない」こと自体がセキュリティだった。インターネット接続が普及すると境界(ペリメータ)という概念が生まれ、内外を分けるファイアウォールが主役になった。その後 SaaS・BYOD・クラウド移行が進むと「内部は信頼」という前提が崩れ、多層防御や内部防御が重要になる。そして攻撃者が境界を突破した後も長期間検知されないという現実が明らかになると、ゼロトラストの「侵害前提」思想が台頭した。

各モデルは前のモデルを「廃棄」するのではなく、前提を追加・修正しながら積み上がる点が重要だ。現代のゼロトラスト環境でも物理境界やファイアウォールは存在するが、それを「信頼の根拠」とは見なさない。

多層防御(Defense in Depth)

概念: 単一の防御線が破られても次の層が機能するよう、複数の独立した防御メカニズムを重ねる設計思想。

多層防御の本質は「単一障害点を排除する」ことにある。一つの防御が無効化されても、攻撃者は次の層を突破しなければならず、検知の機会が増え、被害が局所化される。

層の例: 物理セキュリティ(入退室管理)→ ネットワーク境界(FW/IDS)→ ホストセキュリティ(EDR/パッチ管理)→ アプリケーションセキュリティ(WAF/入力検証)→ データ保護(暗号化/分類)→ ユーザー教育(フィッシング対策)。

重複と独立性: 各層は独立して機能することが重要だ。同一ベンダーの製品を重ねても、そのベンダーの脆弱性で全層が同時に突破される。異なる技術スタック・ベンダーを組み合わせることで冗長性が生まれる。

限界: 層を重ねるほどコストと運用複雑度が上がる。また、多層防御は「攻撃を難しくする」設計であり、「信頼できる主体だけが行動する」という保証を提供しない。

境界防御(Perimeter Security)

概念: 信頼された内部ネットワークと信頼されない外部ネットワークを区切る境界線に防御を集中させる手法。Castle-and-Moat(城壁と堀)モデルとも呼ばれる。

実装: ファイアウォール(Stateful Inspection)・DMZ・VPN による集中管理。内部からの通信はほぼ無条件に信頼し、外部からの通信だけを精査する。

有効だった文脈: オンプレミスのクローズドネットワーク、固定された端末、集中管理されたデータセンター。物理的に境界が明確な時代には有効に機能した。

崩壊の原因: SaaS・IaaS の普及によりトラフィックがデータセンターを経由しなくなった。BYOD と在宅勤務で端末が境界外に出た。クラウドの API 経由でデータが外部ストレージに直接書き込まれる。これらの変化で「内外の二分法」が機能しなくなった。

残存する役割: ゼロトラスト時代においても、インターネットとの接点でのトラフィック可視化・DDoS 緩和・粗いアクセス制御として境界セキュリティは機能する。ただし「信頼の根拠」としての役割は喪失した。

内部防御(Internal Defense)と横展開(Lateral Movement)対策

境界が突破された後の被害を最小化するための設計が内部防御だ。

Lateral Movement(横展開): 攻撃者が一つのシステムを侵害した後、内部ネットワークを渡り歩いて権限昇格・重要資産到達を目指す行動。境界防御モデルでは内部トラフィックを信頼するため、この段階での検知が難しい。

内部セグメント化(マイクロセグメンテーション): ネットワークを細かい単位に分割し、セグメント間通信を明示的に許可する。VLAN・ソフトウェア定義ネットワーク(SDN)・マイクロサービス間のサービスメッシュで実装する。攻撃者の横展開の幅を制限し、侵害をセグメント内に封じ込める。

最小権限の内部適用: ユーザー・サービスアカウント・アプリケーション間の認証・認可を内部通信にも適用する。「同じ内部ネットワークにいるから信頼」という暗黙の前提を排除する。

EDR/XDR による検知: Endpoint Detection and Response・Extended Detection and Response により、エンドポイントでの異常行動(通常と異なるプロセス実行・不審なネットワーク接続)を検知し、横展開の初期段階で捕捉する。

ゼロトラスト原理

概念: NIST SP 800-207(2020 年)に定義される設計パラダイムで、「ネットワーク位置(内部・外部)だけを信頼の根拠にしない」という原則。

NIST SP 800-207 は以下の 3 つのコアテナントを定義する(情報カットオフ ~2025-08、confidence: medium)。

1. 明示的な検証(Verify Explicitly): デバイス・ユーザー・場所・時間・リクエストの内容など、利用可能なすべてのシグナルを用いてアクセスを都度検証する。「一度認証すれば信頼」という設計を排除する。

2. 最小権限アクセス(Use Least Privilege Access): Just-In-Time(JIT)・Just-Enough-Access(JEA)により、必要な時間・範囲だけの権限を付与する。永続的な特権アカウントを廃止し、アクセス期間を最小化する。

3. 侵害前提(Assume Breach): 侵害はすでに起きているか、いつでも起きうるという前提に立ち設計する。爆発半径を最小化するためのセグメント化、通信の暗号化、監視の徹底が含まれる。

ゼロトラストとゼロトラストアーキテクチャの違い: ゼロトラストは「思想・原則」であり、ゼロトラストアーキテクチャ(ZTA)はそれを実装したシステム設計を指す。ZTNA(ゼロトラストネットワークアクセス)は ZTA の一実装コンポーネントで、アプリケーション単位のアクセス制御を提供する(VPN の概念的後継)。境界モデルから SSE・SASE への移行という実装側の全体像は tech-112 を参照。

ゼロトラストで「信頼」するもの: ゼロトラストは「信頼ゼロ」ではなく、「暗黙の信頼ゼロ」だ。明示的な認証・認可・継続的検証を経た通信は信頼される。ただし、その信頼は継続的に検証され、コンテキストが変われば再評価される。

Assume Breach(侵害前提)の設計含意

侵害前提は「防御が完璧でないこと」を設計の出発点にする発想の転換だ。

爆発半径(Blast Radius)の最小化: 一つのアカウント・システムが侵害された時に影響が及ぶ範囲を事前に制限する。セグメント化・最小権限・JIT アクセスがその手段だ。

検知・対応の設計: 侵害を防ぐことだけでなく、侵害を素早く検知し対応することを設計目標に含める。SIEM・SOC・インシデントレスポンス計画の整備が不可欠になる。

復元力(Resilience): 侵害から回復できる能力を持つことが、防御能力と同等に重要になる。バックアップ・フェイルオーバー・DR 計画がセキュリティの一部として位置づけられる。

アンチパターン表

AP誤った前提結果
AP-1境界だけを厚くし、内部トラフィックは無検査侵害後の横展開を許容。侵害から長期間気づけない
AP-2ゼロトラストを「製品を買えば達成」と誤解製品導入のみで設計・プロセス変更なし → 形骸化
AP-3多層防御を「同一ベンダーの製品スタック」で実装一つの脆弱性で全層が同時突破されるリスク
AP-4Assume Breach を導入時だけ意識日常的な監視・検知体制なし。侵害発見が遅延
AP-5ゼロトラストで物理境界を廃止DDoS や粗いアクセス制御の機能も喪失。コスト増

まとめ

多層防御・境界防御・内部防御・ゼロトラストは排他的な選択肢ではなく、脅威モデルの進化に応じて積み重ねられた概念の層だ。現代のベストプラクティスは、ゼロトラスト原理(NIST SP 800-207)を設計の中心に置きながら、多層防御の冗長性と内部セグメント化を組み合わせ、Assume Breach を前提とした検知・対応体制を整えることにある。CIA トライアドとの関係は tech-116 を参照。脅威・脆弱性の評価枠組みは tech-118 を参照。

Local graph