【問290】個人情報保護士 練習問題|多層防御
情報セキュリティ 問110/120難易度B(標準)
問題文
ネットワークセキュリティにおける多層防御(Defense in Depth)に関する次の記述のうち、最も不適切なものはどれか。
- 1.多層防御とは、複数のセキュリティ対策を重ねて実施し、一つの対策が突破されても他の対策で防御する考え方である
- 2.ファイアウォール、IDS/IPS、WAF、ウイルス対策ソフトなど異なる種類の防御を組み合わせることが有効である
- 3.多層防御の考え方に基づけば、物理的セキュリティ、技術的対策、組織的対策を総合的に実施することが重要である
- 4.最も強力な単一のセキュリティ製品を導入すれば、多層防御と同等の効果が得られる
解説
正解
正解は選択肢4です。
各選択肢の解説
選択肢1 → ❌誤り(適切な記述)
多層防御は、複数の異なるセキュリティ対策を重ねることで、一つの対策が突破されても全体としての防御を維持する考え方です。
選択肢2 → ❌誤り(適切な記述)
異なる種類のセキュリティ対策を組み合わせることで、各対策の弱点を互いに補完し、全体としてのセキュリティレベルを向上させます。
選択肢3 → ❌誤り(適切な記述)
多層防御は技術的対策だけでなく、入退室管理などの物理的セキュリティや、セキュリティポリシー・教育などの組織的対策も含む総合的な概念です。
選択肢4 → ✅正解(不適切な記述)
どんなに強力な単一の製品でも、全ての攻撃に対応することは不可能です。多層防御は、異なる種類の対策を組み合わせることに意義があり、単一製品で代替できるものではありません。
背景知識
多層防御は、個人情報保護における安全管理措置の基本的な考え方です。ネットワーク境界にファイアウォール、内部にIDS/IPS、サーバにWAFやウイルス対策ソフト、端末にエンドポイントセキュリティを配置するなど、各ポイントに適切な防御策を配置します。加えて、セキュリティポリシーの策定、従業員教育、物理的入退室管理なども多層防御の重要な要素です。これらが連携して初めて効果的な防御が実現します。
学習アドバイス
多層防御の3つの側面(技術的・物理的・組織的)を理解し、それぞれの具体例を挙げられるようにしましょう。「単一対策では不十分」という原則を覚えておきましょう。
まとめ
- 多層防御は複数の異なるセキュリティ対策を重ねる考え方
- 技術的・物理的・組織的対策を総合的に実施する
- 単一のセキュリティ製品では多層防御の効果は得られない