9割防御3x3とは
信頼性工学手法FTA(Fault Tree Analysis)と、IPAやJIPDECの統計データをもとに、最も発生頻度の高いサイバー攻撃と、それに対して有効な防御策を数値化しました(ゼロトラストFTA参照)
。
このゼロトラストFTA解析により、9割防御3x3と呼ばれる、3つのアタックサーフェスに対する3つの無料の対策(パッチ適用や設定見直しなど)で、約9割のサイバー攻撃を防ぎます。
。
このゼロトラストFTA解析により、9割防御3x3と呼ばれる、3つのアタックサーフェスに対する3つの無料の対策(パッチ適用や設定見直しなど)で、約9割のサイバー攻撃を防ぎます。
アタックサーフェスを防御せよ!
攻撃者がまず最初に狙う箇所を「アタックサーフェス」といいます。
そして9割防御3x3の重要なコンセプトは、この『アタックサーフェスへの最初の攻撃』を最優先に阻止することです。
最も効率が良い「アタックサーフェス防御」
なぜならアタックサーフェスの防御が最優先にされるのは、それが最も効率の良い防御方法だからです。
一般的に、企業ネットワークにおけるアタックサーフェスは次の3種類に分けられます。
(FW、UTM、VPNルータ、インターネットルータなど)
(Webサーバ、メールサーバ、リモートアクセス用の業務サーバ など)
(マルウェア感染やフィッシング攻撃による侵入リスクあり)
そして9割防御3x3の重要なコンセプトは、この『アタックサーフェスへの最初の攻撃』を最優先に阻止することです。
最も効率が良い「アタックサーフェス防御」
なぜならアタックサーフェスの防御が最優先にされるのは、それが最も効率の良い防御方法だからです。
一般的に、企業ネットワークにおけるアタックサーフェスは次の3種類に分けられます。
1. 境界機器
社内と社外の境界にあるネットワーク機器。攻撃者が直接アクセスできる。(FW、UTM、VPNルータ、インターネットルータなど)
2. 公開サーバ
社内にあるが、外部からアクセス可能なサーバ。(Webサーバ、メールサーバ、リモートアクセス用の業務サーバ など)
3. PC
社内ネットワーク内のPC。(マルウェア感染やフィッシング攻撃による侵入リスクあり)
費用をかけないセキュリティ:9割防御3x3
無料でかつ非常に有効な対策手法セット
「9割防御3x3」と呼ばれるセキュリティ対策は、3つのアタックサーフェスに対するそれぞれ3つの対策です。これらの対策は、セキュリティパッチ更新や設定強化など、無料でかつ非常に有効な対策手法セットです。
1. 境界機器
① セキュリティパッチ更新(無料)
- ルータ、FW、VPN機器のファームウェアとOSの最新化
- FWの接続元IP制限(外部ハッカーからの攻撃防御)
- VPNの接続先IP制限(マルウェア感染時の社内拡散を防止)
- 必要ポート以外は閉鎖(外部ハッカーからの攻撃リスク低減)
- 管理画面の接続元IP制限(外部ハッカーからの攻撃防御)
- ログイン失敗回数の上限設定(ブルートフォース攻撃対策)
- パスワード長(15文字以上)(ブルートフォース攻撃対策)
2. 公開サーバ
① セキュリティパッチ更新(無料)
- OS、Webサーバ、ミドルウェア、ライブラリ、CMS、プラグインの最新化
- 無料の脆弱性診断ツール(OWASP ZAP, nmap, OpenVAS)による必要パッチの洗い出し
- ライセンスキー、APIキー、DBパスワードなど権限管理(外部ハッカーによる盗取防御)
- 管理画面の接続元IP制限(外部ハッカーからの攻撃防御)
- ログイン失敗回数の上限設定(ブルートフォース攻撃対策)
- パスワード長(15文字以上)(ブルートフォース攻撃対策)
3. PC
① セキュリティ更新(無料)
- Windowsセキュリティ更新プログラム
- アンチウイルス定義ファイルの更新
- ブラウザ、Office、PDFリーダー、Javaなど(既知の脆弱性対策として最新化)
- Microsoft Defenderの高度な保護機能を有効化(ASRルール、PUA保護、ファイアウォールセグメンテーションなど)
- Windowsの高度なセキュリティ機能有効化(AppLocker、クレデンシャルガード、UAC 強化など)
