homepage
Menu
Open menu
  • Training
    Go one level top Back

    Training

    • Courses

      Build cyber prowess with training from renowned experts

    • Hands-On Simulations

      Hands-on learning exercises keep you at the top of your cyber game

    • Certifications

      Demonstrate cybersecurity expertise with GIAC certifications

    • Ways to Train

      Multiple training options to best fit your schedule and preferred learning style

    • Training Events & Summits

      Expert-led training at locations around the world

    • Free Training Events

      Upcoming workshops, webinars and local events

    • Security Awareness

      Harden enterprise security with end-user and role-based training

    Featured: Solutions for Emerging Risks

    Discover tailored resources that translate emerging threats into actionable strategies

    Risk-Based Solutions

    Can't find what you are looking for?

    Let us help.
    Contact us
  • Learning Paths
    Go one level top Back

    Learning Paths

    • By Focus Area

      Chart your path to job-specific training courses

    • By NICE Framework

      Navigate cybersecurity training through NICE framework roles

    • DoDD 8140 Work Roles

      US DoD 8140 Directive Frameworks

    • By European Skills Framework

      Align your enterprise cyber skills with ECSF profiles

    • By Skills Roadmap

      Find the right training path based on critical skills

    • New to Cyber

      Give your cybersecurity career the right foundation for success

    • Leadership

      Training designed to help security leaders reduce organizational risk

    • Degree and Certificate Programs

      Gain the skills, certifications, and confidence to launch or advance your cybersecurity career.

    Featured

    New to Cyber resources

    Start your career
  • Community Resources
    Go one level top Back

    Community Resources

    Watch & Listen

    • Webinars
    • Live Streams
    • Podcasts

    Read

    • Blog
    • Newsletters
    • White Papers
    • Internet Storm Center

    Download

    • Open Source Tools
    • Posters & Cheat Sheets
    • Policy Templates
    • Summit Presentations
    • SANS Community Benefits

      Connect, learn, and share with other cybersecurity professionals

    • CISO Network

      Engage, challenge, and network with fellow CISOs in this exclusive community of security leaders

  • For Organizations
    Go one level top Back

    For Organizations

    Team Development

    • Why Partner with SANS
    • Group Purchasing
    • Skills & Talent Assessments
    • Private & Custom Training

    Leadership Development

    • Leadership Courses & Accreditation
    • Executive Cybersecurity Exercises
    • CISO Network

    Security Awareness

    • End-User Training
    • Phishing Simulation
    • Specialized Role-Based Training
    • Risk Assessments
    • Public Sector Partnerships

      Explore industry-specific programming and customized training solutions

    • Sponsorship Opportunities

      Sponsor a SANS event or research paper

    Interested in developing a training plan to fit your organization’s needs?

    We're here to help.
    Contact us
  • Talk with an expert
  • Log In
  • Join - it's free
  • Account
    • Account Dashboard
    • Log Out
  1. Home >
  2. Blog >
  3. 防御可能なセキュリティ・アーキテクチャとエンジニアリング: 将来に向けた防御の設計と構築
SANS_social_88x82.jpg
SANS Institute

防御可能なセキュリティ・アーキテクチャとエンジニアリング: 将来に向けた防御の設計と構築

私がいつも言っている通り、「攻撃者は怠け者」です。要は、彼らは常に最も抵抗の少ない道を進むのです。防御側が彼らの戦術、技術、手順を習得するにつれ、攻撃能力と防御能力の非対称的なギャップは縮小し、攻撃者は戦場、戦略の変更を余儀なくされ、何度も繰り返されるゲームは延々と続くことになります。

December 10, 2024

私がいつも言っている通り、「攻撃者は怠け者」です。要は、彼らは常に最も抵抗の少ない道を進むのです。防御側が彼らの戦術、技術、手順を習得するにつれ、攻撃能力と防御能力の非対称的なギャップは縮小し、攻撃者は戦場、戦略の変更を余儀なくされ、何度も繰り返されるゲームは延々と続くことになります。

例えば、エンドポイント保護について考えてみましょう。ここ数年、エンドポイントの保護、検出、レスポンスはセキュリティ戦略の中心となっています。最新のエンドポイント・セキュリティ製品は、AI ベースのエンジンに基づいて脅威を予測する能力が向上し、豊富な可視性とコンテキストベースの検出機能を提供するようになったため、攻撃者は方向転換し、アーキテクチャの「死角」を探して、ネットワーク デバイス、サプライ チェーン、さらにはデバイスの奥深くに埋め込まれたファームウェアなど、セキュリティの可視性が限られている領域の脆弱性や構成ミスを悪用するようになりました。この傾向は、一般向けシステムで使用されているソフトウェアに致命的な脆弱性が頻繁に発見され悪用されているため、特に顕著です。これらの脆弱性により、攻撃者はリモートでのコード実行や不正アクセスを行うことが可能となり、ランサムウェアやネットワーク内でのラテラルムーブメントなど、さらなる攻撃の扉が開かれることになります。

2024 Verizon Data Breach Investigations Report (DBIR)では、状況が変化していることを裏付けています。

2024年における初期アクセスの主な手法はフィッシングで、侵害の36%を占めていましたが、これに僅差で脆弱性の悪用(21%)、盗まれた認証情報の使用(20%)が続きました。これは、脆弱性を悪用した侵入の増加を反映したもので、前年比180%増となっています。同時に、インターネットに接続されたデバイスの脆弱性を最初のアクセスポイントとして悪用するケースは前年度からほぼ3倍に増加し、現在では全侵害の14%を占めています。

Defensible Security Architecture and Engineering Picture 1

この新たな変化は、我々にとって何を意味するのでしょうか?私たち、全領域の防御者は、個々のシステムやエンドポイントを超えて、攻撃対象領域を総合的に捉える必要があります。ここで威力を発揮するのがゼロ・トラスト原則に基づく防御可能なセキュリティ・アーキテクチャです。これは、回復力と適応性を備え、現代の脅威の状況に合致して設計された、サイバーセキュリティ・インフラストラクチャに対する真に効果的なアプローチです。

Think Red, Act Blue: 攻撃の連鎖を防御の連鎖に変える

防御チェーンの観点から考えることは、防御可能なセキュリティ・アーキテクチャを設計・構築するための基本的なステップです。私たちみんなは、攻撃チェーンの概念、つまり攻撃者が目的を達成するために使用する段階的な方法をよく知っています。ここで、この概念を逆に考えたらどうでしょう?攻撃者の侵入方法(つまり「Red」の思考)に関する知識を利用して、防御チェーンを設計することができます。これは、チェーンの全ての手順やブロック、検出、レスポンス(つまり「Blue」の行動)する階層化された防御となります。

これは、従来の「多層防御」の概念の進化形として捉えてみましょう。これは、単なる「保護」だけでなく、他の重要な機能も含むように拡張した考えです。

徹底した可視性:環境全体で何が起きているかをリアルタイムで把握します。これは、エンドポイント、ネットワーク・トラフィック、クラウド・ワークロード、環境全体のデータの流れ、誰が何にアクセスできるかを把握することが含まれます。

徹底した検知: AIと機械学習を活用した高度な脅威検知ツールを使用して、通常であれば気付かれない可能性のある異常を検知します。

徹底した対応:俊敏性と適応性を備えた堅牢なインシデント対応計画を構築し、あらゆるインシデントからの迅速な封じ込めと復旧を実現します。

防御(または保護)、可視性、検知、対応を徹底的に組み込んだ防御チェーンを設計・構築することで、境界、クラウド、サプライチェーン内のどこを攻撃しても、それに対抗できる防御層が確保できます。この理念は、防御可能なアーキテクチャと完全に一致しています。真に防御可能なシステムは、安全であると仮定するのではなく、すべてのユーザー、すべてのデバイス、すべてのアクションを検証します。

ゼロ・トラスト原則の実践における役割

ゼロ・トラストはセキュリティのバズワードになっていますが、その原則は表面的なものではありません。ゼロ・トラストの本質は、暗黙的な信頼の排除、つまり攻撃者に悪用される可能性のある信頼を排除することです。その代わりに、リクエストの発信源が何であれ、継続的な検証を実施します。

この哲学は、防御可能なアーキテクチャと完全に一致します。真の防御可能なシステムは、何もかもが安全であるとは仮定せず、すべてのユーザー、すべてのデバイス、すべてのアクションを検証します。

Defensible Security Architecture and Engineering Picture 2

しかし、ゼロ・トラストは単なる哲学ではなく、さまざまな方法で実施できる実践的なアプローチでもあります。その主な応用例を紹介します。

  1. ゼロ・トラスト・ネットワーク・アクセス(ZTNA): これは従来のVPNを、アプリケーションやリソースへのセキュアなIDベースのアクセスに置き換えるものです。ZTNAは、ユーザーが必要なものだけにアクセスできるようにし、ラテラルムーブメントリスクが低減します。
  2. 既存デバイスのハードニング: 多くの攻撃は、設定不良やパッチ未適用のデバイスを悪用します。ゼロ・トラストでは、継続的なハードニングを重視し、定期的に設定を見直し、パッチを適用し、厳格なアクセス制御を実施します。
  3. 製品の中身を知る: 今日の相互接続された世界では、ネットワークに導入するすべてのデバイス、アプリケーション、サービスが攻撃者の潜在的な侵入口となります。ゼロ・トラストとは、隠れた脆弱性やバックドアが熟練した攻撃者に利用されないように、内部を把握すること、つまり重要な情報へのアクセスを可能にするすべての重要な製品のソフトウェア部品表(SBOM)を理解することを意味します。

Defensible Security Architecture and Engineering Picture 3

将来性のあるデザイン

セキュリティアーキテクトとエンジニアは、「オールラウンド・ディフェンダー」として、将来のために設計し、構築する必要があります。そのためには、ゼロ・トラストの原則を取り入れた防御可能なセキュリティ・アーキテクチャへのパラダイム・シフトが必要です。進化する脅威の状況を理解し、攻撃チェーンを、保護、可視化、検知、対応を組み合わせた全体的かつ統合力のある防御戦略に転換し、ゼロ・トラストの実践を厳格に適用することで、組織は新たな脅威に対する防御を強化することができます。

良いニュースは、毎年、世界中から1,000人以上の学生が、私のSANSコース「Security 530: Defensible Security Architecture and Engineering, Implementing Zero Trust for the Hybrid Enterprise」を受講し、これらの概念を習得する方法を学んでいることです。このクラスでは、セキュリティベンダーや業界アナリストとは異なる独自の視点を提供し、セキュリティ製品を支える基盤技術、その長所と限界、そして真に防御可能なアーキテクチャを構築する上で見落とされがちな、人やプロセスの重要な役割を理解することの必要性を強調しています。このコースでは、セキュリティの専門家が適切なツールを適切な方法で導入できるだけでなく、包括的な防御戦略を実現するために組織内のワークフローやヒューマンファクターを調整できるようにもなります。

また、このコースは、サイバーセキュリティ業界で急速に必須の資格となった GDSA 認定資格の取得に向けた準備コースでもあります。GDSA を取得すると、防御者、アーキテクト、エンジニアとしての専門知識が証明され、組織内でリーダーとして認められ、現代のサイバー脅威との戦いにおいて貴重な戦力となります。

この分野でキャリアアップとスキルアップを目指す方は、https://www.sans.org/cyber-security-courses/defensible-security-architecture-and-engineering/ でコーススケジュールをご確認ください。直接受講しても、OnDemandで受講しても、あなたの組織ですぐに使える実践的な知識を得ることができます。

防御可能なセキュリティの未来はここから始まります。

Defensible Security Architecture and Engineering Picture 4

Further reading:

  • Security 530 - Free Course Preview
  • Zero Trust Blog Series - Blog 1: Adopting a Zero Trust Mindset
  • Zero Trust Blog Series - Blog 2: Architecting for Zero Trust
  • Zero Trust Blog Series - Blog 3: Instrumenting for Zero Trust
  • Zero Trust Blog Series - Blog 4: Operating for Zero Trust

英語のオリジナルのブログはこちらになります.

Share:
TwitterLinkedInFacebook
Copy url Url was copied to clipboard
Subscribe to SANS Newsletters
Receive curated news, vulnerabilities, & security awareness tips
United States
Canada
United Kingdom
Spain
Belgium
Denmark
Norway
Netherlands
Australia
India
Japan
Singapore
Afghanistan
Aland Islands
Albania
Algeria
American Samoa
Andorra
Angola
Anguilla
Antarctica
Antigua and Barbuda
Argentina
Armenia
Aruba
Austria
Azerbaijan
Bahamas
Bahrain
Bangladesh
Barbados
Belarus
Belize
Benin
Bermuda
Bhutan
Bolivia
Bonaire, Sint Eustatius, and Saba
Bosnia And Herzegovina
Botswana
Bouvet Island
Brazil
British Indian Ocean Territory
Brunei Darussalam
Bulgaria
Burkina Faso
Burundi
Cambodia
Cameroon
Cape Verde
Cayman Islands
Central African Republic
Chad
Chile
China
Christmas Island
Cocos (Keeling) Islands
Colombia
Comoros
Cook Islands
Costa Rica
Cote D'ivoire
Croatia (Local Name: Hrvatska)
Curacao
Cyprus
Czech Republic
Democratic Republic of the Congo
Djibouti
Dominica
Dominican Republic
East Timor
Ecuador
Egypt
El Salvador
Equatorial Guinea
Eritrea
Estonia
Eswatini
Ethiopia
Falkland Islands (Malvinas)
Faroe Islands
Fiji
Finland
France
French Guiana
French Polynesia
French Southern Territories
Gabon
Gambia
Georgia
Germany
Ghana
Gibraltar
Greece
Greenland
Grenada
Guadeloupe
Guam
Guatemala
Guernsey
Guinea
Guinea-Bissau
Guyana
Haiti
Heard And McDonald Islands
Honduras
Hong Kong
Hungary
Iceland
Indonesia
Iraq
Ireland
Isle of Man
Israel
Italy
Jamaica
Jersey
Jordan
Kazakhstan
Kenya
Kiribati
Korea, Republic Of
Kosovo
Kuwait
Kyrgyzstan
Lao People's Democratic Republic
Latvia
Lebanon
Lesotho
Liberia
Liechtenstein
Lithuania
Luxembourg
Macau
Madagascar
Malawi
Malaysia
Maldives
Mali
Malta
Marshall Islands
Martinique
Mauritania
Mauritius
Mayotte
Mexico
Micronesia, Federated States Of
Moldova, Republic Of
Monaco
Mongolia
Montenegro
Montserrat
Morocco
Mozambique
Myanmar
Namibia
Nauru
Nepal
Netherlands Antilles
New Caledonia
New Zealand
Nicaragua
Niger
Nigeria
Niue
Norfolk Island
North Macedonia
Northern Mariana Islands
Oman
Pakistan
Palau
Palestine
Panama
Papua New Guinea
Paraguay
Peru
Philippines
Pitcairn
Poland
Portugal
Puerto Rico
Qatar
Reunion
Romania
Russian Federation
Rwanda
Saint Bartholemy
Saint Kitts And Nevis
Saint Lucia
Saint Martin
Saint Vincent And The Grenadines
Samoa
San Marino
Sao Tome And Principe
Saudi Arabia
Senegal
Serbia
Seychelles
Sierra Leone
Sint Maarten
Slovakia
Slovenia
Solomon Islands
South Africa
South Georgia and the South Sandwich Islands
South Sudan
Sri Lanka
St. Helena
St. Pierre And Miquelon
Suriname
Svalbard And Jan Mayen Islands
Sweden
Switzerland
Taiwan
Tajikistan
Tanzania, United Republic Of
Thailand
Togo
Tokelau
Tonga
Trinidad And Tobago
Tunisia
Turkey
Turkmenistan
Turks And Caicos Islands
Tuvalu
Uganda
Ukraine
United Arab Emirates
United States Minor Outlying Islands
Uruguay
Uzbekistan
Vanuatu
Vatican City State
Venezuela
Vietnam
Virgin Islands (British)
Virgin Islands (U.S.)
Wallis And Futuna Islands
Western Sahara
Yemen
Zambia
Zimbabwe

By providing this information, you agree to the processing of your personal data by SANS as described in our Privacy Policy.

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

Tags:
  • Cyber Defense

Related Content

Blog
emerging threats summit 340x340.png
Digital Forensics, Incident Response & Threat Hunting, Offensive Operations, Pen Testing, and Red Teaming, Cyber Defense, Industrial Control Systems Security, Cybersecurity Leadership
May 14, 2025
Visual Summary of SANS Emerging Threats Summit 2025
Check out these graphic recordings created in real-time throughout the event for SANS Emerging Threats Summit 2025
No Headshot Available
Alison Kim
read more
Blog
CD - Blog - Making Linux Security Accessible Blog Series - Part 5 -340 x 340.jpg
Cyber Defense
April 15, 2025
Network Security Basics: Connecting Safely – Part 5 of 5 of the Terminal Techniques for You (TTY): Making Linux Security Accessible Blog Series
Secure your Linux system by managing open ports, configuring firewalls, and using SSH best practices to minimize exposure to cyber threats.
CharlieGoldner_370x370.png
Charles Goldner
read more
Blog
CD - Blog - Making Linux Security Accessible Blog Series - Part 4_340 x 340.jpg
Cyber Defense
April 7, 2025
Process Management: Knowing What is Running on Your System – Part 4 of 5 of the Terminal Techniques for You (TTY): Making Linux Security Accessible Blog Series
Welcome to the fourth installment in our TTY series! So far, we've explored how to navigate the Linux file system, keep your software updated, and control file permissions. In this post, we're going to discover another critical aspect of Linux security: understanding and managing the processes...
CharlieGoldner_370x370.png
Charles Goldner
read more
  • Company
  • Mission
  • Instructors
  • About
  • FAQ
  • Press
  • Contact Us
  • Careers
  • Policies
  • Training Programs
  • Work Study
  • Academies & Scholarships
  • Public Sector Partnerships
  • Law Enforcement
  • SkillsFuture Singapore
  • Degree Programs
  • Get Involved
  • Join the Community
  • Become an Instructor
  • Become a Sponsor
  • Speak at a Summit
  • Join the CISO Network
  • Award Programs
  • Partner Portal
Subscribe to SANS Newsletters
Receive curated news, vulnerabilities, & security awareness tips
United States
Canada
United Kingdom
Spain
Belgium
Denmark
Norway
Netherlands
Australia
India
Japan
Singapore
Afghanistan
Aland Islands
Albania
Algeria
American Samoa
Andorra
Angola
Anguilla
Antarctica
Antigua and Barbuda
Argentina
Armenia
Aruba
Austria
Azerbaijan
Bahamas
Bahrain
Bangladesh
Barbados
Belarus
Belize
Benin
Bermuda
Bhutan
Bolivia
Bonaire, Sint Eustatius, and Saba
Bosnia And Herzegovina
Botswana
Bouvet Island
Brazil
British Indian Ocean Territory
Brunei Darussalam
Bulgaria
Burkina Faso
Burundi
Cambodia
Cameroon
Cape Verde
Cayman Islands
Central African Republic
Chad
Chile
China
Christmas Island
Cocos (Keeling) Islands
Colombia
Comoros
Cook Islands
Costa Rica
Cote D'ivoire
Croatia (Local Name: Hrvatska)
Curacao
Cyprus
Czech Republic
Democratic Republic of the Congo
Djibouti
Dominica
Dominican Republic
East Timor
Ecuador
Egypt
El Salvador
Equatorial Guinea
Eritrea
Estonia
Eswatini
Ethiopia
Falkland Islands (Malvinas)
Faroe Islands
Fiji
Finland
France
French Guiana
French Polynesia
French Southern Territories
Gabon
Gambia
Georgia
Germany
Ghana
Gibraltar
Greece
Greenland
Grenada
Guadeloupe
Guam
Guatemala
Guernsey
Guinea
Guinea-Bissau
Guyana
Haiti
Heard And McDonald Islands
Honduras
Hong Kong
Hungary
Iceland
Indonesia
Iraq
Ireland
Isle of Man
Israel
Italy
Jamaica
Jersey
Jordan
Kazakhstan
Kenya
Kiribati
Korea, Republic Of
Kosovo
Kuwait
Kyrgyzstan
Lao People's Democratic Republic
Latvia
Lebanon
Lesotho
Liberia
Liechtenstein
Lithuania
Luxembourg
Macau
Madagascar
Malawi
Malaysia
Maldives
Mali
Malta
Marshall Islands
Martinique
Mauritania
Mauritius
Mayotte
Mexico
Micronesia, Federated States Of
Moldova, Republic Of
Monaco
Mongolia
Montenegro
Montserrat
Morocco
Mozambique
Myanmar
Namibia
Nauru
Nepal
Netherlands Antilles
New Caledonia
New Zealand
Nicaragua
Niger
Nigeria
Niue
Norfolk Island
North Macedonia
Northern Mariana Islands
Oman
Pakistan
Palau
Palestine
Panama
Papua New Guinea
Paraguay
Peru
Philippines
Pitcairn
Poland
Portugal
Puerto Rico
Qatar
Reunion
Romania
Russian Federation
Rwanda
Saint Bartholemy
Saint Kitts And Nevis
Saint Lucia
Saint Martin
Saint Vincent And The Grenadines
Samoa
San Marino
Sao Tome And Principe
Saudi Arabia
Senegal
Serbia
Seychelles
Sierra Leone
Sint Maarten
Slovakia
Slovenia
Solomon Islands
South Africa
South Georgia and the South Sandwich Islands
South Sudan
Sri Lanka
St. Helena
St. Pierre And Miquelon
Suriname
Svalbard And Jan Mayen Islands
Sweden
Switzerland
Taiwan
Tajikistan
Tanzania, United Republic Of
Thailand
Togo
Tokelau
Tonga
Trinidad And Tobago
Tunisia
Turkey
Turkmenistan
Turks And Caicos Islands
Tuvalu
Uganda
Ukraine
United Arab Emirates
United States Minor Outlying Islands
Uruguay
Uzbekistan
Vanuatu
Vatican City State
Venezuela
Vietnam
Virgin Islands (British)
Virgin Islands (U.S.)
Wallis And Futuna Islands
Western Sahara
Yemen
Zambia
Zimbabwe

By providing this information, you agree to the processing of your personal data by SANS as described in our Privacy Policy.

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.
  • Privacy Policy
  • Terms and Conditions
  • Do Not Sell/Share My Personal Information
  • Contact
  • Careers
© 2025 The Escal Institute of Advanced Technologies, Inc. d/b/a SANS Institute. Our Terms and Conditions detail our trademark and copyright rights. Any unauthorized use is expressly prohibited.
  • Twitter
  • Facebook
  • Youtube
  • LinkedIn