マイクロセグメンテーションとは

マイクロセグメンテーションは、セキュリティ対策のベストプラクティスの 1 つとして認識されており、データセンターやクラウド環境でのワークロード間のネットワークアクセスを制御・制限することでセキュリティの強化を図ります。

セグメンテーションは新しい技術ではなく、これまでも、ネットワークやアプリケーションの区画分けは IT 部門によって行われてきました。例えば、ネットワークセグメンテーションは、ネットワークを複数のセグメントに分割する手法です。攻撃対象領域を減らすことで、特定のネットワークセグメント上のホストが侵害された場合でも、他のセグメントのホストが犠牲にならないようします。

一方、マイクロセグメンテーションは、従来のセグメンテーションとは異なり、データやアプリケーションごとに非常に細かくネットワークを分割できます。IT 部門は、複数の物理的なファイアウォールを使うのではなく、ネットワーク仮想化技術を使用して、個々のデータ共有やワークロードに対して固有のポリシーベースのセキュリティ制御を実装できます。こうすることで、データセンターやクラウド環境に極めて特定されたセキュリティゾーンができ、組織のセキュリティ体制と攻撃に対する防御力が向上し、サイバーイベントの影響範囲が最小限に抑えられます。

クラウドの普及に伴い、データとワークロードの完全な分離およびポリシーの統合が必須であり、マイクロセグメンテーションはますます一般的になっています。マイクロセグメンテーションは、従来の境界型セキュリティでは完全に保護できないワークロード（コンテナなど）のデプロイメントにおけるセキュリティ強化策となります。例えば、クラウドネイティブのワークロードは通常、動的な IP アドレスを使用しているため、IP アドレスに基づいてルールを作成しても効果的ではありません。

マイクロセグメンテーションの仕組み

これまでは境界型セキュリティをネットワークに適用することが一般的でした。これらのセキュリティプロトコルやデバイスは、クライアントとサーバー間の通信や、外部からネットワークに送信されるデータ、または逆方向のデータの流れを監視します。以前は、ネットワーク内であれば全てが信頼され、データは慎重に監視されることなくワークロード間の横方向の移動も可能でした。

しかしながら、クラウドの普及に伴い、ほとんどのトラフィックが境界を越えてワークロード間でやり取りされることが増えており、境界型セキュリティに基づいた従来のアプローチでは、この横方向のトラフィックを十分に監視することが困難になっています。マイクロセグメンテーションは、そのようなワークロードを分離し、それぞれに異なるポリシーやルールを適用することで、2 つのワークロードがお互いのデータにアクセスできるかどうかを決定します。

IT 管理者は、ネットワーク上でワークロードを分離することで、ネットワーク内部からの境界攻撃とは対照的な横方向攻撃による被害を軽減または排除できます。すなわち、攻撃者が境界のセキュリティを突破できたとしても、サーバー間の攻撃からシステムを保護できます。

マイクロセグメンテーションのセキュリティ制御は通常、以下の 3 つの主要なカテゴリに分類されます。

• ソフトウェアエージェントその他のエージェントベースのソリューション：IT 部門は、セグメント化されているワークロードやシステムをオーバーレイするソフトウェアエージェントを使用できます。ソリューションのなかには、ワークロードの属性を調べ、それらを分離する方法を決定するものがあります。他には、ワークロードに組み込まれたファイアウォールに依存するものもあります。
• ネットワークベースの制御：ソフトウェア定義ネットワーク（SDN）、スイッチ、ロードバランサーなどの物理的または仮想的なネットワークインフラをベースにポリシーを作成し、適用します。
• 組み込みのクラウドの制御：このカテゴリでは、システムは AWS の Amazon Security Group や組み込みのファイアウォールなど、クラウドサービスのプロバイダーが提供するネイティブコントロールを活用します。

ゼロトラストセキュリティとは

マイクロセグメンテーションのセキュリティ制御は、必要最小限の権限とゼロトラストアーキテクチャ（ZTA）の基盤に基づいています。ゼロトラストセキュリティモデルは、従来のセキュリティアプローチでは当たり前とされてきた暗黙の信頼を排除します。従来のセキュリティでは、ネットワークシステム内のユーザーに暗黙の信頼が置かれていましたが、現在の主流となっているゼロトラストの原則では、ユーザーに必要なシステム、情報、アプリケーションにのみアクセスを許可し、それ以外は隔離されます。これにより、異なるシステムやアプリケーション間で不要なデータの横移動が制限されます。

ゼロトラストモデルでは、組織のネットワークに入ったり、システムにサインインしたりしても、全てのリソースに自由にアクセスできるわけではありません。ユーザーは、システム内の特定のデータやアプリケーションにアクセスするために、常に認証され、許可される必要があります。

現在、ゼロトラストに基づくセキュリティアプローチは、ますます一般的になっています。その理由は、大きく分けて次の 3 つの要因が考えられます。1）あらゆる業界で深刻なデータ侵害が急増している。 2）近年、リモートワークやハイブリッドワークモデルへの移行が進んでいる。3）クラウドにリソースを移行することにより、これまでデータセンターによって明確に定義されていたセキュリティの境界線が拡散し消失している。実際に Gartner は、2025 年までに 60% の組織が従来のセキュリティ手法に代わって、ゼロトラストモデルを採用すると予測しています。

ゼロトラストとマイクロセグメンテーションの比較

多くの専門家はマイクロセグメンテーションをゼロトラストネットワークアクセス（ZTNA）と呼ばれる、ゼロトラストセキュリティの実践の中心技術であると考えています。この 2 つのセキュリティアプローチは密接に関連しています。実際、マイクロセグメンテーションはゼロトラストを実現するための手段です。ワークロードは、極めて詳細なレベルで分割されます。ゼロトラストの原則に従って、意図的または強制的な認証と承認なしには、誰もそれらのワークロードにアクセスできません。ワークロードが攻撃にさらされた場合でも、その脅威が他のワークロード、ユーザー、リソースに広がって影響を与えることがないため、組織に安心感をもたらします。

マイクロセグメンテーションのメリット

マイクロセグメンテーションにより、システム内における横方向の攻撃の脅威を軽減または防止できます。 IT 部門は、ワークロード保護に優先順位をつけるための知見を取得できます。また、次のことも可能になります。

攻撃対象領域の軽減

攻撃対象領域とは、何者かがネットワークに侵入できる可能性がある全てのポイントのことを指します。これらのポイントは攻撃ベクトルと呼ばれ、アプリケーション、API、パスワードやユーザー認証情報、暗号化されていないデータ、ユーザー自身など、あらゆるものが含まれる可能性があります。

マイクロセグメンテーションは、これらのポイントを互いに分離できるため、攻撃者はシステムに侵入しても、ネットワーク全体のごく一部にしかアクセスできなくなります。攻撃対象領域が各マイクロセグメントのサイズに縮小されているためです。

また、マイクロセグメンテーションにより、パフォーマンスに影響を与えたり、予期せぬダウンタイムを引き起こしたりすることなく、IT 部門は組織のネットワークをエンドツーエンドで詳細に把握できるようになります。アプリケーション開発者が開発中にセキュリティポリシーや制御を定義できるので、アプリケーションのデプロイメントや更新による新たな脆弱性の発生を防止できます。

セキュリティ侵害対策の強化

IT 部門やセキュリティチームは、マイクロセグメントと詳細なポリシーを使用することでネットワーク上を移動するデータをより効果的に監視できます。また、セキュリティチームは、より迅速かつ効率的に攻撃を特定し、脅威の緩和や攻撃への対応にかかる時間を短縮できます。マイクロセグメントは互いに分離されているため、攻撃が発生した場合でも被害が拡大することがなく、被害は攻撃された単一のマイクロセグメントに限定されます。つまり、攻撃が発生してもその攻撃が同じネットワーク内の他のシステムやデバイスに広がることなく、他の領域に影響が及ぶことはありません。

規制への対応の強化

規制されたデータを保護することは、重要度の低い情報を保護するよりも困難な場合があります。規制対象のデータを保存、アクセス、管理、使用する方法に関する多くのガイドラインを遵守する必要があるためです。マイクロセグメンテーションを利用することで、個々のワークロードに対してポリシーを作成し、実行できるため、データのアクセスや使用についてより細かく制御できるようになります。ポリシーを適用すること自体が、コンプライアンスに役立ち、他のワークロードから分離することでコンプライアンス要件をより確実に満たすことができます。

ポリシー管理の簡素化

マイクロセグメンテーションのソリューションのなかには、ポリシー管理を容易にするためのツールが組み込まれているものがあります。これらのソリューションは、ネットワーク上のアプリケーションを自動的に検出し、アプリケーションやシステムがどのように動作するかに応じて、さまざまなタイプやレベルのポリシーを推奨する機能によってポリシー管理の簡素化を実現します。

最も重要なワークロードの保護

一部のワークロードは、組織のビジネスにとって他のものよりも重要です。マイクロセグメンテーションのきめ細かな性質により、IT 部門はカスタマイズされたセキュリティポリシーや組織が定義した制御を作成することで、最も重要で価値のあるワークロードを最大限保護できます。