定義

埋め込みセキュリティレイヤーとは、独立した境界防御として実装されるのではなく、アプリケーション、サービス、またはインフラストラクチャコンポーネントのアーキテクチャ、コード、および運用フローに本質的に織り込まれたセキュリティコントロール、プロトコル、およびメカニズムを指します。

従来の境界セキュリティ（ネットワークエッジに配置されるファイアウォールなど）とは異なり、埋め込みレイヤーは内部で動作し、相互作用または実行の時点でデータとプロセスを保護します。

なぜ重要なのか

マイクロサービスやクラウドネイティブアプリケーションなどの現代の分散型アーキテクチャでは、従来のネットワーク境界は溶解しています。脅威はシステム内部、侵害されたAPI、または脆弱な依存関係から発生する可能性があります。埋め込みセキュリティレイヤーは、侵害の可能性を前提とし、リスクが存在するまさにその場所に防御を深く実装することでこれに対処します。

このアプローチは、セキュリティを後付けの機能から根本的な設計原則へと移行させ、攻撃対象領域を大幅に削減します。

仕組み

実装方法はスタックのレイヤーによって異なります。

• コードレベル： アプリケーションコード内に安全なコーディングプラクティス、入力検証、およびランタイムアプリケーションセルフプロテクション (RASP) ツールを直接利用します。
• APIレベル： すべてのAPI呼び出しに対して、きめ細かな認可チェック、レート制限、トークン検証を実装します。
• データレベル： 送信中および保存時の両方で暗号化を採用し、同型暗号化などの技術を使用して、復号化せずに機密データを処理します。
• インフラストラクチャレベル： セキュリティポリシーをデプロイメントパイプライン（DevSecOps）に直接統合し、サービス間での相互TLS (mTLS) のためにサービスメッシュ技術を使用します。

一般的なユースケース

• マイクロサービス通信： ネットワーク上の場所に関係なく、すべてのサービス間呼び出しが認証および認可されていることを保証します。
• データ処理： 個人識別情報 (PII) を、取り込み時に直ちに暗号化し、認可された処理環境でのみ復号化することで保護します。
• Webアプリケーション保護： Webアプリケーションファイアウォール (WAF) または専門のセキュリティライブラリをアプリケーションの実行時環境に直接デプロイします。

主な利点

• 回復力： 他のレイヤーが失敗したりバイパスされたりしても防御を提供します。
• 粒度： 個々の機能やデータ要素に関連付けられた非常に具体的なセキュリティポリシーを可能にします。
• レイテンシの削減： 効率的に実装された場合（例：最適化されたライブラリの使用）、セキュリティチェックは外部セキュリティアプライアンスを介してトラフィックをルーティングするよりも高速になります。

課題

• 複雑性： セキュリティを深く統合するには、開発、運用、セキュリティチーム全体で専門知識が必要です。
• パフォーマンスオーバーヘッド： 不適切に実装されたコントロールは、かなりの遅延やリソース消費を引き起こす可能性があります。
• 保守： 脆弱性を防ぐために、セキュリティ依存関係はアプリケーションコードと並行して継続的に更新される必要があります。

関連概念

ゼロトラストアーキテクチャ (ZTA)、DevSecOps、ランタイムアプリケーションセルフプロテクション (RASP)、APIゲートウェイセキュリティ