* [Blog](https://www2.paloaltonetworks.com/blog)
* [Palo Alto Networks](https://www2.paloaltonetworks.com/blog/corporate/)
* [カテゴリーなし](https://www2.paloaltonetworks.com/blog/category/%e3%82%ab%e3%83%86%e3%82%b4%e3%83%aa%e3%83%bc%e3%81%aa%e3%81%97/?lang=ko)
* 「レイヤーは皆平等」ではない...

# 「レイヤーは皆平等」ではない

[](https://www.facebook.com/sharer/sharer.php?u=https%3A%2F%2Fwww2.paloaltonetworks.com%2Fblog%2F2019%2F07%2Fnetwork-layers-not-created-equal%2F%3Flang%3Dja)  
[](https://twitter.com/share?text=%E3%80%8C%E3%83%AC%E3%82%A4%E3%83%A4%E3%83%BC%E3%81%AF%E7%9A%86%E5%B9%B3%E7%AD%89%E3%80%8D%E3%81%A7%E3%81%AF%E3%81%AA%E3%81%84&url=https%3A%2F%2Fwww2.paloaltonetworks.com%2Fblog%2F2019%2F07%2Fnetwork-layers-not-created-equal%2F%3Flang%3Dja)  
[](https://www.linkedin.com/shareArticle?mini=true&url=https%3A%2F%2Fwww2.paloaltonetworks.com%2Fblog%2F2019%2F07%2Fnetwork-layers-not-created-equal%2F%3Flang%3Dja&title=%E3%80%8C%E3%83%AC%E3%82%A4%E3%83%A4%E3%83%BC%E3%81%AF%E7%9A%86%E5%B9%B3%E7%AD%89%E3%80%8D%E3%81%A7%E3%81%AF%E3%81%AA%E3%81%84&summary=&source=)  
[](https://www.paloaltonetworks.com//www.reddit.com/submit?url=https://www2.paloaltonetworks.com/blog/2019/07/network-layers-not-created-equal/?lang=ja&ts=markdown)  
[](mailto:?subject=「レイヤーは皆平等」ではない)  
Link copied  
By [John Kindervag](https://www.paloaltonetworks.com/blog/author/john-kindervag/?lang=ja&ts=markdown "Posts by John Kindervag")  
Jul 22, 2019  
1 minutes  
[カテゴリーなし](https://www.paloaltonetworks.com/blog/category/%e3%82%ab%e3%83%86%e3%82%b4%e3%83%aa%e3%83%bc%e3%81%aa%e3%81%97/?lang=ko&ts=markdown)  
[App-ID](https://www.paloaltonetworks.com/blog/tag/app-id/?ts=markdown)  
[Content ID](https://www.paloaltonetworks.com/blog/tag/content-id/?ts=markdown)  
[network segmentation](https://www.paloaltonetworks.com/blog/tag/network-segmentation/?ts=markdown)  
[Thought Bubble with John Kindervag](https://www.paloaltonetworks.com/blog/tag/thought-bubble-with-john-kindervag/?ts=markdown)  
[User-ID](https://www.paloaltonetworks.com/blog/tag/user-id/?ts=markdown)  
[Zero Trust](https://www.paloaltonetworks.com/blog/tag/zero-trust/?ts=markdown)

This post is also available in: [English (英語)](https://www2.paloaltonetworks.com/blog/2019/05/network-layers-not-created-equal/ "英語(English)に切り替える") [简体中文 (簡体中国語)](https://www2.paloaltonetworks.com/blog/2019/08/network-layers-not-created-equal/?lang=zh-hans "簡体中国語(简体中文)に切り替える") [繁體中文 (繁体中国語)](https://www2.paloaltonetworks.com/blog/2019/08/network-layers-not-created-equal/?lang=zh-hant "繁体中国語(繁體中文)に切り替える") [한국어 (韓国語)](https://www2.paloaltonetworks.com/blog/2019/08/network-layers-not-created-equal/?lang=ko "韓国語(한국어)に切り替える") [Português (ポルトガル語（ブラジル）)](https://www2.paloaltonetworks.com/blog/2019/08/network-layers-not-created-equal/?lang=pt-br "ポルトガル語（ブラジル）(Português)に切り替える")

## キプリング提唱のジャーナリズム原則がゼロトラスト ポリシー定義にどう役立つのか

ニュース記事やブログ投稿、ホワイトペーパーなどに信頼性を持たせたければ、その内容は「いつ、どこで、だれが、なにを、どうした」のか、つまり「5W1H」を網羅していなければなりません。でなければ、読者は説明の一部しか信頼することができないでしょう。小説家のRudyard Kipling（ラドヤード キップリング）はかつて、信頼にあたうジャーナリズムの本質を次のように明確に定義しています。

> *私には6人の忠実なしもべがいる。*  
> *（私が知るべきことはみな彼らが教えてくれる。）*  
> *その者たちの名は、What、Why、When、*  
> *そして How、Where、Who。*
> 
> \-Rudyard Kipling『Just So Stories for Little Children』 1902年

この「Kiplingメソッド」は非常に有用で、ジャーナリズムのベスト プラクティスだけにとどまるものではありません。私は長年にわたり、このKiplingメソッドを活用して、企業がポリシーを定義し、ゼロトラスト ネットワークを構築できるように支援をしてきました。このメソッドを使えば、セキュリティ チームは定義すべきことをあまさず定義することができますし、アプローチがシンプルなので、技術力の高くないビジネス エグゼクティブにも、サイバーセキュリティ ポリシーを理解することができるようになります。ゼロトラストの第1設計原則はビジネス目標に重点を置くことですから、このメソッドは特に有用といえます。

### レイヤー3ポリシーとレイヤー7ポリシーの比較

実際にKiplingメソッドを適用して本物のゼロトラスト アーキテクチャを構築するにあたり、まずは「ゼロトラスト アーキテクチャがなぜレイヤー3テクノロジでは実現できないのか」という理由を理解しておく必要があります。  
それではレイヤー3とレイヤー7の違いとは何でしょうか。

レイヤー3は、IPアドレス、ポート、またはプロトコルのみに基づいて情報が評価されるレイヤーです。これだけの情報しかないので、レイヤー3にできることはごく限られます。また、IPアドレスは偽装される可能性もありますし、オープンになっているポートはポートスキャンすればすべて検出できてしまうため、攻撃側は見つかったオープンポートを介して窃取したデータをカプセル化することが可能です。また「プロトコル」というのは単なるメタデータ タグであって、実際には、特定のポート上を流れることが想定されているトラフィックの種類を管理者が把握しやすくするための指標でしかありません。さらにいえば、すべての攻撃者がレイヤー3のセキュリティ対策をバイパスする方法を知っていますから、企業の安全性を確保したければ、より信頼性の高い方法で事物の定義ができねばなりません。

レイヤー7は、もっと具体的に、使用されている実際のアプリケーションに基づいて情報が評価されるレイヤーです。たとえば、「80番ポート上と443番ポート上を流れるトラフィック」という認識をするかわりに「Facebook」という固有のアプリケーション情報を認識するのです。

私は前職Forrester Research時代にゼロトラスト ネットワークに対する5ステップの方法論を作成しましたが、その4番目のステップとして「セグメンテーション ゲートウェイ用のポリシー ルールを作成するさいは、想定されるデータの振る舞いや、そのデータを操作するユーザーやアプリケーションの振る舞いに基づいて作成すること」と説明しています。こうしたポリシー ルールの作成は、ゼロトラスト環境のセグメンテーション ゲートウェイとして機能しうるパロアルトネットワークスの次世代ファイアウォールであれば実現可能です。というのも、セグメンテーション ゲートウェイではきめ細かくポリシーを設定せねばならないのでレイヤー7のもつ情報の認識が必要なのです。
[![図1 従来型のレイヤー3ルール](https://www.paloaltonetworks.com/blog/wp-content/uploads/2019/07/Old-Layer-3-jp-1.png)](https://www.paloaltonetworks.com/blog/wp-content/uploads/2019/07/Old-Layer-3-jp-1.png) 図1 従来型のレイヤー3ルール

### パロアルトネットワークスの次世代ファイアウォールにKiplingメソッドを応用するには

それでは、パロアルトネットワークス次世代ファイアウォールの導入時、その革新的なUser-ID、App-ID、およびContent-IDテクノロジにKiplingメソッドを応用する方法について見ていきましょう。

* User-IDはKiplingメソッドの**WHO** 文と考えることができます。すなわち「**誰が**リソースにアクセスしているのか」です。

User-IDは、送信元IPアドレスの情報をもとに、レイヤー7でより精度を高めてユーザー情報をインスタンス化したものです。たとえば、Active DirectoryからOUを取得し、そのドメインユーザーをカスタムUser-IDに紐付け、さらにGlobalProtectクライアントから多要素認証（MFA）やホスト情報プロファイル（HIP）を追加することで「誰がリソースにアクセスしているのか」すなわちWHO文の信頼性を高めることができます。さらにきめ細かく制御したければ、多要素認証をUser-IDと新たな属性に追加することもできます。

* App-IDはKiplingメソッドの**WHAT** 文と考えることができます。すなわち「**どのアプリケーションが**リソースへのアクセスに使用されているか」です。

パロアルトネットワークスは本稿執筆時点で2,800種類以上App-IDを発行しています（日々追加されるアプリケーションの種類は[Applipedia](https://applipedia.paloaltonetworks.com/)から確認可能）。これらApp-IDを活用してポリシー ルールを構築することにより、攻撃側は「Webサービス（HTTP/HTTPS）」といった汎用アプリケーション使用によるセキュリティ対策バイパスができなくなります。

* Content-IDはKiplingメソッドの**HOW** 文と考えることができます。すなわち「**どのような方法で**User-IDとApp-IDのトラフィックがリソースへのアクセスを許可されるべきか」です。

Content-IDには次のようなテクノロジが含まれます。

* 高度な侵入防御機能である Threat Preventionルール
* 悪意のあるトラフィックや窃取されたデータを暗号化したトンネル内に隠せないようにするSSL復号化
* ユーザーが悪意のあるドメインやフィッシング ドメインにアクセスしないようにするURL Filtering
* マルウェア活動を阻止する方法を再定義した最先端サンドボックステクノロジWildFire
* 自動化された保護に予測分析を適用し、DNSを使用した攻撃を阻止する弊社の新しいDNSセキュリティサービス

Kiplingメソッドの**WHO** 、**WHAT** 、および**HOW** 文を定義するこれら3つのテクノロジを使用すれば、基本的なレイヤー7ルールの定義やその後のPanorama管理システムによるルール実装は容易になります。これにくわえてPAN-OSには、時間で表現するルールである**WHEN** 文、リソースの場所（多くの場合API経由で自動的にPanoramaに取り込み可能）で表現する**WHERE** 文、データ分類ツールとルール内からメタデータを読み取ることによる**WHY**文を追加する機能もあります。
[![図2 Kipling メソッドに基づくゼロトラストのルールの作成方法](https://www.paloaltonetworks.com/blog/wp-content/uploads/2019/07/Screen-Shot-2019-05-01-at-10.19.06-AM-jp-1.png)](https://www.paloaltonetworks.com/blog/wp-content/uploads/2019/07/Screen-Shot-2019-05-01-at-10.19.06-AM-jp-1.png) 図2 Kipling メソッドに基づくゼロトラストのルールの作成方法

Kiplingメソッドは、ビジネスリーダーとセキュリティ管理者の両者がRudyard Kiplingの提唱した単純なWho、What、When、Where、Why、How手法を使用してきめ細かなレイヤー7ポリシーを定義できるように設計されたメソッドです。

ファイアウォールポリシーを作成したことのない方にも、このメソッドは容易に理解できますし、セグメンテーション ゲートウェイ用のルールセットを作成するさいに必要な基準を定義するときも、このメソッドはとても有用です。

*** ** * ** ***

## Related Blogs

### [Cybersecurity](https://www.paloaltonetworks.com/blog/category/cybersecurity-2/?ts=markdown), [Secure the Enterprise](https://www.paloaltonetworks.com/blog/category/secure-the-enterprise/?ts=markdown)

[#### All Layers Are Not Created Equal](https://www2.paloaltonetworks.com/blog/2019/05/network-layers-not-created-equal/)

### [Announcement](https://www.paloaltonetworks.com/blog/category/announcement/?ts=markdown), [Public Sector](https://www.paloaltonetworks.com/blog/category/public-sector/?ts=markdown)

[#### Network Segmentation for the NHS](https://www2.paloaltonetworks.com/blog/2023/06/network-segmentation-for-the-nhs/)

### [Secure the Enterprise](https://www.paloaltonetworks.com/blog/category/secure-the-enterprise/?ts=markdown), [Zero Trust Security](https://www.paloaltonetworks.com/blog/network-security/category/zero-trust-security/?ts=markdown)

[#### The Zero Trust Learning Curve: Deploying Zero Trust One Step at a Time](https://www2.paloaltonetworks.com/blog/2020/04/network-zero-trust-learning-curve/)

### [カテゴリーなし](https://www.paloaltonetworks.com/blog/category/%e3%82%ab%e3%83%86%e3%82%b4%e3%83%aa%e3%83%bc%e3%81%aa%e3%81%97/?lang=ko&ts=markdown)

[#### パロアルトネットワークス、Forrester Wave™: Zero Trust eXtended Ecosystem Platform Providers レポートの評価でリーダーを獲得](https://www2.paloaltonetworks.com/blog/2019/10/palo-alto-networks-named-leader-forrester-ztx-wave/?lang=ja)

### [Cybersecurity](https://www.paloaltonetworks.com/blog/category/cybersecurity-2/?ts=markdown), [Points of View](https://www.paloaltonetworks.com/blog/category/points-of-view/?ts=markdown), [Secure the Enterprise](https://www.paloaltonetworks.com/blog/category/secure-the-enterprise/?ts=markdown)

[#### You Want Network Segmentation, But You Need Zero Trust](https://www2.paloaltonetworks.com/blog/2019/01/you-want-network-segmentation-but-you-need-zero-trust/)

### [Cybersecurity](https://www.paloaltonetworks.com/blog/category/cybersecurity-2/?ts=markdown), [Points of View](https://www.paloaltonetworks.com/blog/category/points-of-view/?ts=markdown), [Secure the Enterprise](https://www.paloaltonetworks.com/blog/category/secure-the-enterprise/?ts=markdown)

[#### Define a Protect Surface to Massively Reduce Your Attack Surface](https://www2.paloaltonetworks.com/blog/2018/09/define-protect-surface-massively-reduce-attack-surface/)

### Subscribe to the Blog!

Sign up to receive must-read articles, Playbooks of the Week, new feature announcements, and more.
![spinner](https://www2.paloaltonetworks.com/blog/wp-content/themes/panwblog2023/dist/images/ajax-loader.gif) Sign up  
Please enter a valid email.  
By submitting this form, you agree to our [Terms of Use](https://www.paloaltonetworks.com/legal-notices/terms-of-use?ts=markdown) and acknowledge our [Privacy Statement](https://www.paloaltonetworks.com/legal-notices/privacy?ts=markdown). Please look for a confirmation email from us. If you don't receive it in the next 10 minutes, please check your spam folder.  
This site is protected by reCAPTCHA and the Google [Privacy Policy](https://policies.google.com/privacy) and [Terms of Service](https://policies.google.com/terms) apply.  
{#footer} {#footer}

## Products and Services

* [AI-Powered Network Security Platform](https://www.paloaltonetworks.com/network-security?ts=markdown)

* [Secure AI by Design](https://www.paloaltonetworks.com/precision-ai-security/secure-ai-by-design?ts=markdown)

* [Prisma AIRS](https://www.paloaltonetworks.com/prisma/prisma-ai-runtime-security?ts=markdown)

* [AI Access Security](https://www.paloaltonetworks.com/sase/ai-access-security?ts=markdown)

* [Cloud Delivered Security Services](https://www.paloaltonetworks.com/network-security/security-subscriptions?ts=markdown)

* [Advanced Threat Prevention](https://www.paloaltonetworks.com/network-security/advanced-threat-prevention?ts=markdown)

* [Advanced URL Filtering](https://www.paloaltonetworks.com/network-security/advanced-url-filtering?ts=markdown)

* [Advanced WildFire](https://www.paloaltonetworks.com/network-security/advanced-wildfire?ts=markdown)

* [Advanced DNS Security](https://www.paloaltonetworks.com/network-security/advanced-dns-security?ts=markdown)

* [Enterprise Data Loss Prevention](https://www.paloaltonetworks.com/sase/enterprise-data-loss-prevention?ts=markdown)

* [Enterprise IoT Security](https://www.paloaltonetworks.com/network-security/enterprise-device-security?ts=markdown)

* [Medical IoT Security](https://www.paloaltonetworks.com/network-security/medical-device-security?ts=markdown)

* [Industrial OT Security](https://www.paloaltonetworks.com/network-security/medical-device-security?ts=markdown)

* [SaaS Security](https://www.paloaltonetworks.com/sase/saas-security?ts=markdown)

* [Next-Generation Firewalls](https://www.paloaltonetworks.com/network-security/next-generation-firewall?ts=markdown)

* [Hardware Firewalls](https://www.paloaltonetworks.com/network-security/hardware-firewall-innovations?ts=markdown)

* [Software Firewalls](https://www.paloaltonetworks.com/network-security/software-firewalls?ts=markdown)

* [Strata Cloud Manager](https://www.paloaltonetworks.com/network-security/strata-cloud-manager?ts=markdown)

* [SD-WAN for NGFW](https://www.paloaltonetworks.com/network-security/sd-wan-subscription?ts=markdown)

* [PAN-OS](https://www.paloaltonetworks.com/network-security/pan-os?ts=markdown)

* [Panorama](https://www.paloaltonetworks.com/network-security/panorama?ts=markdown)

* [Secure Access Service Edge](https://www.paloaltonetworks.com/sase?ts=markdown)

* [Prisma SASE](https://www.paloaltonetworks.com/sase?ts=markdown)

* [Application Acceleration](https://www.paloaltonetworks.com/sase/app-acceleration?ts=markdown)

* [Autonomous Digital Experience Management](https://www.paloaltonetworks.com/sase/adem?ts=markdown)

* [Enterprise DLP](https://www.paloaltonetworks.com/sase/enterprise-data-loss-prevention?ts=markdown)

* [Prisma Access](https://www.paloaltonetworks.com/sase/access?ts=markdown)

* [Prisma Browser](https://www.paloaltonetworks.com/sase/prisma-browser?ts=markdown)

* [Prisma SD-WAN](https://www.paloaltonetworks.com/sase/sd-wan?ts=markdown)

* [Remote Browser Isolation](https://www.paloaltonetworks.com/sase/remote-browser-isolation?ts=markdown)

* [SaaS Security](https://www.paloaltonetworks.com/sase/saas-security?ts=markdown)

* [AI-Driven Security Operations Platform](https://www.paloaltonetworks.com/cortex?ts=markdown)

* [Cloud Security](https://www.paloaltonetworks.com/cortex/cloud?ts=markdown)

* [Cortex Cloud](https://www.paloaltonetworks.com/cortex/cloud?ts=markdown)

* [Application Security](https://www.paloaltonetworks.com/cortex/cloud/application-security?ts=markdown)

* [Cloud Posture Security](https://www.paloaltonetworks.com/cortex/cloud/cloud-posture-security?ts=markdown)

* [Cloud Runtime Security](https://www.paloaltonetworks.com/cortex/cloud/runtime-security?ts=markdown)

* [Prisma Cloud](https://www.paloaltonetworks.com/prisma/cloud?ts=markdown)

* [AI-Driven SOC](https://www.paloaltonetworks.com/cortex?ts=markdown)

* [Cortex XSIAM](https://www.paloaltonetworks.com/cortex/cortex-xsiam?ts=markdown)

* [Cortex XDR](https://www.paloaltonetworks.com/cortex/cortex-xdr?ts=markdown)

* [Cortex XSOAR](https://www.paloaltonetworks.com/cortex/cortex-xsoar?ts=markdown)

* [Cortex Xpanse](https://www.paloaltonetworks.com/cortex/cortex-xpanse?ts=markdown)

* [Unit 42 Managed Detection \& Response](https://www.paloaltonetworks.com/cortex/managed-detection-and-response?ts=markdown)

* [Managed XSIAM](https://www.paloaltonetworks.com/cortex/managed-xsiam?ts=markdown)

* [Threat Intel and Incident Response Services](https://www.paloaltonetworks.com/unit42?ts=markdown)

* [Proactive Assessments](https://www.paloaltonetworks.com/unit42/assess?ts=markdown)

* [Incident Response](https://www.paloaltonetworks.com/unit42/respond?ts=markdown)

* [Transform Your Security Strategy](https://www.paloaltonetworks.com/unit42/transform?ts=markdown)

* [Discover Threat Intelligence](https://www.paloaltonetworks.com/unit42/threat-intelligence-partners?ts=markdown)

## Company

* [About Us](https://www.paloaltonetworks.com/about-us?ts=markdown)
* [Careers](https://jobs.paloaltonetworks.com/en/)
* [Contact Us](https://www.paloaltonetworks.com/company/contact-sales?ts=markdown)
* [Corporate Responsibility](https://www.paloaltonetworks.com/about-us/corporate-responsibility?ts=markdown)
* [Customers](https://www.paloaltonetworks.com/customers?ts=markdown)
* [Investor Relations](https://investors.paloaltonetworks.com/)
* [Location](https://www.paloaltonetworks.com/about-us/locations?ts=markdown)
* [Newsroom](https://www.paloaltonetworks.com/company/newsroom?ts=markdown)

## Popular Links

* [Blog](https://www.paloaltonetworks.com/blog/?ts=markdown)
* [Communities](https://www.paloaltonetworks.com/communities?ts=markdown)
* [Content Library](https://www.paloaltonetworks.com/resources?ts=markdown)
* [Cyberpedia](https://www.paloaltonetworks.com/cyberpedia?ts=markdown)
* [Event Center](https://events.paloaltonetworks.com/)
* [Manage Email Preferences](https://start.paloaltonetworks.com/preference-center)
* [Products A-Z](https://www.paloaltonetworks.com/products/products-a-z?ts=markdown)
* [Product Certifications](https://www.paloaltonetworks.com/legal-notices/trust-center/compliance?ts=markdown)
* [Report a Vulnerability](https://www.paloaltonetworks.com/security-disclosure?ts=markdown)
* [Sitemap](https://www.paloaltonetworks.com/sitemap?ts=markdown)
* [Tech Docs](https://docs.paloaltonetworks.com/)
* [Unit 42](https://unit42.paloaltonetworks.com/)
* [Do Not Sell or Share My Personal Information](https://panwedd.exterro.net/portal/dsar.htm?target=panwedd)
  ![PAN logo](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/pan-logo-dark.svg)
* [Privacy](https://www.paloaltonetworks.com/legal-notices/privacy?ts=markdown)
* [Trust Center](https://www.paloaltonetworks.com/legal-notices/trust-center?ts=markdown)
* [Terms of Use](https://www.paloaltonetworks.com/legal-notices/terms-of-use?ts=markdown)
* [Documents](https://www.paloaltonetworks.com/legal?ts=markdown)

Copyright © 2026 Palo Alto Networks. All Rights Reserved

* [![Youtube](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/social/youtube-black.svg)](https://www.youtube.com/user/paloaltonetworks)
* [![Podcast](https://www.paloaltonetworks.com/content/dam/pan/en_US/images/icons/podcast.svg)](https://www.paloaltonetworks.com/podcasts/threat-vector?ts=markdown)
* [![Facebook](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/social/facebook-black.svg)](https://www.facebook.com/PaloAltoNetworks/)
* [![LinkedIn](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/social/linkedin-black.svg)](https://www.linkedin.com/company/palo-alto-networks)
* [![Twitter](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/social/twitter-x-black.svg)](https://twitter.com/PaloAltoNtwks)
* EN  
  Select your language