マイクロセグメンテーションとは マイクロセグメンテーションは、リソース間のネットワーク アクセス(例: サーバー間や東西方向のトラフィックなど)をより適切に管理できるサイバーセキュリティの手法です。各リソース(例: サーバー、アプリケーション、ホスト、ユーザー)を一意に識別することで、データ トラフィックをきめ細かく制御するアクセス許可の設定が可能になります。ゼロトラストの原則を使用して導入することで、マイクロセグメンテーションは脅威の水平移動やワークロードへの侵害、情報漏洩の阻止に効力を発揮します。

マイクロセグメンテーションの基礎知識(英語)

マイクロセグメンテーションとネットワーク セグメンテーションとの違い

ネットワーク セグメンテーションとマイクロセグメンテーションはよく同じ意味で用いられますが、両者は根本的に異なる概念です

ネットワーク セグメンテーションは、南北方向のトラフィック、つまりネットワークに出入りするトラフィックに対して使用するのが最も適切です。ネットワーク セグメンテーションでは、一般にユーザーなどのエンティティーは、ネットワークの指定されたゾーン内に入った段階で信頼されます。

一方、マイクロセグメンテーションは東西方向のトラフィック、つまりデータ センターまたはクラウド ネットワークを移動するトラフィック(例:サーバー間、アプリケーションとサーバー間など)に最も適しています。簡単に言えば、ネットワーク セグメンテーションは城を守る外壁と堀のようなものですが、マイクロセグメンテーションは城内にあるそれぞれの扉の前に立つ守備隊のようなものです。

マイクロセグメンテーションの仕組み

マイクロセグメンテーションのソリューションを用いることで、安全なゾーンを作成し、ワークロードを互いに分離させた上で個別に保護できます。つまり、ネットワーク トラフィックをきめ細かく分割し(これが「マイクロ」と呼ばれる理由です)、サイバー攻撃に対する耐性を高めるよう構築されているのです。

マイクロセグメンテーション ポリシーを含むアプローチにより、ITとセキュリティの部門はさまざまな種類のトラフィックに合わせて設定を調整することができます。これにより、ワークロード間におけるネットワークおよびアプリケーション フローを、明示的に許可されたものに限定する制御を実現できます。

セグメンテーション ルールをワークロード レベルまたはアプリケーションにまで適用することで、攻撃対象領域を縮小し、攻撃者が侵害されたワークロードまたはアプリケーションから別のワークロードやアプリケーションに移動するリスクを軽減できます。

従来型のセグメンテーションアプローチが通用しない理由

従来型のネットワーク セグメンテーション ソリューションは、ネットワーク アドレスを使用してルールを適用するファイアウォールに依存しています。しかし、ネットワークは常に変化しているため、アプリケーションやデバイスが移動する際にはポリシーを継続的に更新する必要があります。このことは、オンプレミスのデータ センターやマルチクラウド環境、および一時的なIPアドレスが付与される場合に問題となります。

加えて、セグメンテーションに対するネットワーク アドレスベースのアプローチでは、たとえばソフトウェアのアイデンティティーが特定不能であるなど、何が通信しているかを識別することができません。可能なのは、「リクエスト」が発信されたIPアドレスやポート、またはプロトコルなど、どのように通信が実行されているかを識別することです。すなわち、何が通信を試みているのかをIT部門やセキュリティ部門が正確に把握していなくても、「安全」であると見なされる限り通信は許可されます。

さらに、一旦ネットワーク上の「安全なゾーン」内に入ったエンティティーは信頼されてしまうため、セキュリティ侵害やフラットなネットワークにおける水平移動を招く恐れがあります。

マイクロセグメンテーションが重要な理由

マイクロセグメンテーションには、IT部門がリソースのアイデンティティーに基づいてポリシーとアクセス許可を設定できる特徴があります。そのため、データ センター内で通信する個々のワークロードの特性に基づいてインテリジェントなグループ分けを実現する理想的な方法と言えます。

その上、マイクロセグメンテーションは、動的に変化するネットワークやそれに付随するビジネスもしくは技術的な要件に依存しないため、強力で信頼性の高いネットワーク セキュリティを実現できます。事実、これはゼロトラスト ネットワーク アクセス(ZTNA)フレームワークの基盤となる部分であり、アクセス制御を簡素化できることが証明されています。

また、管理もより簡単で、数百種類のアドレスベースのファイアウォール ルールを設定する必要はなく、わずか数件のアイデンティティーベースのポリシーでセグメントを保護することができます。

マイクロセグメンテーションの特徴

マイクロセグメンテーションには、以下のような技術的なメリットがあります。

  • ネットワーク全体における、一元化されたセキュリティの制御および管理:マイクロセグメンテーションは南北方向ではなく東西方向のトラフィックを管理するため、対象となるセグメントを通過するすべてのトラフィックに対してポリシーが適用されます。また、ポリシーがより明確であるため、ネットワーク セグメンテーションに比べてネットワーク アクティビティーの可視性がはるかに高くなります。
  • 自動的に適応するセグメンテーションのポリシー:ポリシーはハードウェアではなくワークロードに適用されるため、インフラストラクチャーの変更に影響されません。つまり、ITセキュリティ部門はダウンタイムを発生させずに、一連の制御をどこにでも拡張できるようになります。
  • 隙のない保護:セキュリティ ポリシーはクラウド、コンテナー、オンプレミス データ センター、およびハイブリッド クラウド環境にまたがって適用されます。これは、ポリシーがネットワークのセグメントではなくワークロードごとに特有のものであり、セキュリティの対象範囲におけるすべての潜在的な脆弱性に対処するためです。

ベンダーの中にはマイクロセグメンテーションに特化しているものもあります。どのような場合でも、データ センターにおける東西トラフィックのアイデンティティベースの「マイクロセグメンテーション(よりきめ細かいソフトウェアで定義されたセグメンテーションで、ゼロトラスト ネットワーク セグメンテーションとも呼ばれます)」に対する要求は高まってきており、これをサポートするソリューションが必要です。

Neil MacDonald、Tom Croll, Gartner Market Guide to Cloud Workload Protection、2020年4月

マイクロセグメンテーションのビジネス上のメリット

積極的なネットワークおよびITのセキュリティ

マイクロセグメンテーションは、すべてのアプリとサービスに追随するアプリケーション認識型のポリシーを作成することで、従来型のセグメンテーションに共通してみられるセキュリティの障害を取り除きます。その結果、潜在的なデータ侵害はネットワーク全体ではなく影響を受ける資産の中に封じ込められます。マイクロセグメンテーションのサービスの中には、自動化を活かして通信を行うすべてのソフトウェアを識別し、ワンクリックで適用できるゼロトラスト ポリシーを推奨するものもあります。

脆弱性の軽減

IPアドレス、ポート、およびプロトコルに依存する静的な制御の代わりに、各ワークロードについて暗号によるフィンガープリンティングを行い、内部のデータ センターまたはクラウドで動作するワークロードに向けて一貫した保護を提供することが可能です。このフィンガープリンティングにより、ワークロードのセキュリティをIPアドレス構造から切り離すことができるため、IPベース制御に関連した問題を回避できます。

継続的なリスク評価

マイクロセグメンテーションを使用することで、可視化されているネットワークの攻撃対象領域を自動的に測定し、使用されている可能性のあるアプリケーションの通信経路の数を把握することができ、リスク エクスポージャーの定量化が可能になります。一部のサービスでは、ソフトウェアが通信をリクエストするたびに、そのアイデンティティーを検証することもでき、リスクの軽減や規制コンプライアンス準拠のサポートを行えるほか、視覚化されたリスク レポートも提供できます。

ゼロトラスト セグメンテーション

前述のように、ゼロトラスト セキュリティ モデルは、マイクロセグメンテーションの原則に基づくものです。ポリシーはネットワーク セグメントではなくワークロードに適用されるため、十分なコンテキストを確立できない場合、どのような場所のどようなリソースであっても接続を細かく制御することができます。

たとえば、ゼロトラストのモデル(特にクラウドベースのモデル)では、医療機器に対して他の医療機器としか通信できないポリシーを設定することが可能です。また、エンドポイント デバイスやワークロードが移動する場合でも、セキュリティ ポリシーとその属性はリアルタイムで追随します。

多くのクラウド セキュリティ ベンダーは、クラウドベースのゼロトラストに関して、謳われたとおりのサービスを提供できません。現在の高度なサイバー脅威からネットワークやアプリケーション、機密データを保護できる包括的なゼロトラスト セキュリティをクラウドから提供しているベンダーは、Zscalerだけです。

Zscalerのソリューション

Zscaler Workload Segmentation (ZWS)は、あらゆるクラウドまたはデータ センター環境における、マイクロセグメンテーションのプロセスの自動化と簡素化を実現するためにゼロから構築されました。ZWSは理解しやすいアイデンティティーベースのポリシーに基づいて構築されており、ネットワークやアプリケーションを変更することなく、ワンクリックでリスクを特定してワークロードに保護を適用し、セキュリティを強化できます。

Zscaler Workload Segmentationは、ソフトウェア アイデンティティーベースの技術を使用し、環境の変化に自動的に適応するポリシーで隙のない保護を提供します。ゼロトラストの保護を採用することで、ネットワークの攻撃対象領域の排除はこれまでにないほど簡素化されました。

Zscaler Workload Segmentationの仕組みについては、製品ページからデモをリクエストして詳しくご確認ください。

おすすめのリソース