リソース > セキュリティ用語集 > マイクロセグメンテーションとは?

マイクロセグメンテーションとは?

マイクロセグメンテーションとは?

マイクロセグメンテーションは、同一ネットワークセグメント内のサーバー間(サーバーからサーバーへの)トラフィックを緩和する方法として生まれたものです。要求するリソース(サーバー/アプリケーション/ホスト/ユーザー)のIDがそのリソースに設定された許可と一致する限り、サーバーAがサーバーBと会話したり、アプリケーションAがホストBと通信したりできるように、セグメント内のトラフィックを取り入れるように発展してきました。

マイクロセグメンテーションのポリシーと承認は、リソースのアイデンティティに基づいてできるため、ネットワークIPアドレスに依存するネットワークセグメンテーション とは異なり、基盤となるインフラから独立したものとなっています。このため、マイクロセグメンテーションは、データセンター内で通信する個々のワークロードの特性に基づいて、ワークロードをインテリジェントにグループ化するための理想的な手法と言えます。マイクロセグメンテーションは、ゼロトラストネットワークアクセス(ZTNA)フレームワークの基本部分です。 、幅広く変化するネットワークやそれに課されたビジネスや技術の要件に依存しないため、より強力で信頼性の高いネットワークセキュリティとなります。また、管理もはるかに簡単です。数百ものアドレスベースのファイアウォールルールの代わりに、わずか数項目のIDベースのポリシーでセグメントを保護することができます。

なぜマイクロセグメンテーションをなのか?

従来のネットワークベースのマイクロセグメンテーションソリューションは、ルールを適用するためにネットワークアドレスを使用するファイアウォールに依存していますが、ネットワークは常に変化するため、アプリケーションやデバイスの移動に合わせてポリシーを継続的に更新する必要があるからです。オンプレミスのデータセンターでは常に更新が必要であり、マルチクラウド環境やIPアドレスが一時的なものとなっている環境ではなおさらです。

ネットワークアドレスに基づくセグメンテーションのアプローチでは、何が通信しているのか(例えば、ソフトウェアのアイデンティティなど)を特定することはできず、IPアドレスやポート、もしくは「リクエスト」発生元のプロトコルなどといった通信状況を伝えるだけに留まります。「危険性なし」とみなされる限りは、IT・セキュリティチームが伝達内容を正確に把握していなくても、通信は許可されるのです。さらに、ネットワーク上の「安全」ゾーン内に一旦エンティティが入ると、そのエンティティは信頼されます。しかし、この信頼構築モデルは違反につながる可能性があり、フラットなネットワークでは横方向の移動のリスクが高いです。これがマイクロセグメンテーションが発展した主な理由です。

マイクロセグメンテーションの利点の1つは、企業がワークロードを互いに分離し、個別にセキュリティを確保できるよう、セキュアゾーンを作成する点です。トラフィックをきめ細かく分割し、より高いサイバー攻撃耐性を実現できるように設計されています。

マイクロセグメンテーションを含むクラウドセキュリティのアプローチにより、ITとセキュリティチームは、サイバーセキュリティ の設定を異なる種類のトラフィックに合わせて調整し、ワークロード間のネットワークとアプリケーションのフローを明示的に許可されたものに制限するポリシーを作成することができます。この ゼロトラスト セキュリティモデルを使えば、企業は例えば、医療機器は他の医療機器としか情報伝達ができないとするポリシーを設定することができます。また、エンドポイントデバイスやワークロードが移動した場合、セキュリティポリシーや属性も一緒に移動します。

ワークロードレベルやアプリケーションにまでセグメンテーションルールを適用することで、IT部門は攻撃対象領域を縮小し、攻撃者が侵入に成功したワークロードやアプリケーションから別のワークロードに移動するリスクを低減することができます。

マイクロセグメンテーションとネットワークセグメンテーションは異なる概念です

ネットワークセグメンテーションとマイクロセグメンテーションは、同じ意味で使われることがよくありますが、実際には、全く異なる概念です。.ネットワークセグメンテーション は、南北方向のトラフィック、つまりネットワークに出入りするトラフィックに使用のが最も適切です。ネットワークセグメンテーションでは、一般にユーザーなどのエンティティが一旦ネットワークの指定されたゾーン内に入ったら、後は信頼できるものとみなされます。マイクロセグメンテーションは、東西方向のトラフィック、つまりデータセンターやクラウドのネットワーク(サーバー間、アプリケーション間など)を移動するトラフィックに最適です。簡単に言うと、ネットワークセグメンテーションは城の外壁のように機能し、マイクロセグメンテーションは城の内玄関に立つ衛兵のように機能するわけです。

マイクロセグメンテーションのメリット

  • より少数のポリシーを管理すれば済む
  • ネットワーク全体のポリシー制御を中央で一元管理
  • インフラの変更内容に関わらず、自動的に適応するセグメンテーションポリシー
  • クラウド、コンテナ、オンプレミスデータセンター、ハイブリッドクラウド環境において隙間のない保護が可能
ベンダーの中にはマイクロセグメンテーションに特化しているものもあります。どのような場合でも、データセンターにおける東西トラフィックのアイデンティティベースの「マイクロセグメンテーション(よりきめ細かいソフトウェアで定義されたセグメンテーションで、ゼロトラストネットワークセグメンテーションとも呼ばれる)」に対する要求は高まってきており、これをサポートするソリューションが必要です。
Neil MacDonaldとTom Croll著の「Gartner マーケットガイド・クラウドワークロード保護,」2020年4月

マイクロセグメンテーションは、どのようにビジネスイネーブラーとして機能するようになったか

主要なビジネスイニシアチブのサポート

  • マイクロセグメンテーションは、従来のいわば「レガシー」なアプローチによって引き起こされるセキュリティ上の障害を取り除きます。データやシステムの機密性、完全性、可用性に対するあらゆる脅威は、解消しなければならないビジネスリスクです。マイクロセグメンテーションは、すべてのアプリケーションとサービスに適用されるアプリケーションを意識したポリシーを作成します。つまり、潜在的な危険はネットワーク全体ではなく、影響を受けるアセットに限定されることになります。さらに、マイクロセグメンテーションサービスの中には、通信するすべてのソフトウェアを自動的に識別し、ゼロトラストポリシーを推奨し、ワンクリックで適用する機能を提供するものもあります。

隙間のない保護

  • サイバーセキュリティ ツール、例えばIPアドレス、ポート、プロトコルに依存するファイアウォールなどは、クラウド環境の保護には適していません。クラウドの動的な性質により、これらの静的なセキュリティとアクセス制御は常に、あるいは一日に何度も変更される可能性があるため、信頼性が低くなっています。オンプレミスのデータセンター環境であっても、攻撃者は従来のネットワークセキュリティ制御に対して容易になりすまし行為を実施することができるため、データ侵害に対する保護には有効ではありません。
     
  • 静的な制御の代わりに、各ワークロードに暗号化されたフィンガープリントを付与することで、社内データセンターまたはクラウドで運用されているワークロードに一貫した保護を提供することができます。フィンガープリントは、ワークロードのセキュリティをIPアドレスの構造から切り離すため、IPベースの制御に見られる問題を回避することができます。そのためセキュリティチームは、フィンガープリントによって検証されたソフトウェアのみが、ネットワークの場所に関係なく通信を許可されていることを確認することができます。

継続的なリスク評価

  • マイクロセグメンテーションを使用すると、目に見えるネットワークの攻撃対象領域を自動的に測定して、使用されているアプリケーションの通信経路の可能性を把握し、リスクへの露出を定量化することができます。また、機械学習を利用して横方向の移動の可能性 とデータ漏洩の可能性 を低減する、ゼロトラスト・セキュリティポリシーを推奨するサービスも提供しています。

     

  • 最小特権アクセス の原則に基づき、マイクロセグメンテーションは、アプリケーション、ホスト、およびプロセスがネットワーク内部で許可されるアクセスを削減します。また、サービスによってはソフトウェアが通信を要求するたびに、通信しているソフトウェアの素性を確認することができます。このようなソフトウェア中心のアプローチは、リスクを軽減し、規制遵守の義務付けをサポートし、リスク評価を簡素化し、チームがアプリケーションやホストで簡単にフィルタリングできる可視化されたリスクレポートを提供します。

マイクロセグメンテーションとネットワークセグメンテーションの相違点

ブログを読む(英語)
ブログを読む(英語)

ゼロトラストにおけるセグメンテーションプランのライトサイジング

ブログを読む(英語)
マイクロセグメンテーションブログ

アプリケーション・アイデンティティとは何か、そしてなぜそれが重要なのか?

ブログを読む(英語)

クラウドとデータセンターにおけるゼロトラスト・セグメンテーション

データシートを読む(英語)
クラウドとデータセンターにおけるゼロトラスト・セグメンテーション