ファイアウォールの新たなゼロデイ脆弱性が話題になっています。ファイアウォールやVPNについて不安をお持ちの場合は、Zscalerの特別オファーをご活用ください。

詳細を確認する(英語)
Zpedia / マイクロセグメンテーションとは

マイクロセグメンテーションとは

マイクロセグメンテーションは、リソース間のネットワーク アクセス(サーバー間/東西方向のトラフィックなど)を管理するうえで役立つサイバーセキュリティ技術です。各リソース(サーバー、アプリケーション、ホスト、ユーザーなど)を一意に識別することで、トラフィックをきめ細かく制御する権限を構成できるようになります。マイクロセグメンテーションとゼロトラスト アプローチの組み合わせにより、脅威のラテラル ムーブメント、ワークロードへの不正アクセス、データ侵害などの防止が可能になります。

マイクロセグメンテーションの基礎知識を読む(英語)

マイクロセグメンテーションが重要な理由

IT部門はマイクロセグメンテーションを活用して、リソースのアイデンティティーに基づいてポリシーと権限を設定できるため、マイクロセグメンテーションはデータ センター内で通信する個々のワークロードの特性に基づいて効率的にグループ化する理想的な方法といえます。マイクロセグメンテーションと最小特権の原則に基づくアクセス制御を組み合わせることで、重要なアプリケーションとデータの保護が強化されるため、全体的なセキュリティ態勢が大幅に向上します。

さらに、マイクロセグメンテーションは動的に変化するネットワークやそれに付随するビジネスもしくは技術的な要件に依存しないため、強力で信頼性の高いネットワーク セキュリティを実現できます。これは、アクセス制御を簡素化するゼロトラスト ネットワーク アクセス(ZTNA)フレームワークの基盤となる要素です。

また、管理もより簡単で、数百種類のアドレスベースのファイアウォール ルールを設定する必要がなく、わずか数件のアイデンティティーベースのポリシーでセグメントを保護することができます。

マイクロセグメンテーションとネットワーク セグメンテーションとの違い

ネットワーク セグメンテーションとマイクロセグメンテーションは同じ意味で使われる場合がありますが、両者は根本的に異なる概念です。

ネットワーク セグメンテーションは、南北方向のトラフィック(ネットワークを出入りするトラフィック)への使用に最適です。組織は一般的に、VLANまたはファイアウォールを介してネットワーク セグメントを構築し、地理的リージョンまたはデータ、アプリケーション、もしくはネットワークといった既存のネットワーク層に基づいてセグメント(ゾーン)を構築します。ネットワーク セグメンテーションでは、ユーザーなどのエンティティーは指定されたゾーン内に入った段階で信頼されます。

一方、マイクロセグメンテーションは東西方向のトラフィック(サーバー間、アプリケーションとサーバー間などのデータ センターやクラウド ネットワーク全体)への使用に最適です。簡単に言えば、ネットワーク セグメンテーションは城を守る外壁と堀のようなもので、マイクロセグメンテーションは城内にあるそれぞれの扉の前に立つ守衛のようなものです。

マイクロセグメンテーションの仕組み

マイクロセグメンテーション ソリューションは、企業がワークロードまたは仮想マシン(VM)を相互に分離して、個別に保護できるようにするセキュア ゾーンを作成します。つまり、ネットワーク トラフィックのきめ細かなパーティショニングを可能にし、サイバー攻撃に対する耐性を高めるよう構築されています。

現代のハイパーコネクテッドな環境において、マイクロセグメンテーションは最新のセキュリティ戦略の中心的な役割を担っています。マイクロセグメンテーション ポリシーを含むアプローチにより、IT部門やセキュリティ部門はさまざまな種類のトラフィックに合わせて設定を調整できます。これにより、ワークロード間におけるネットワーク フローとアプリケーション フローを、明示的に許可されたものに限定する制御を実現できます。

セグメンテーション ルールをワークロードまたはアプリケーション レベルにまで適用することで、攻撃対象領域を縮小するとともに、攻撃者が侵害されたワークロードまたはアプリケーションから別のワークロードやアプリケーションに移動するリスクを軽減できます。

マイクロセグメンテーションのユース ケース

マイクロセグメンテーションは、次のような企業の一般的なユース ケースに不可欠な要素です。

  • クラウド移行:マイクロセグメンテーションはクラウド ワークロードの安全な直接接続を可能にし、マルチクラウドのインフラ全体にわたるワークロード通信を保護することで、シンプルでスピーディーなクラウド化を実現します。
  • 合併と買収:マイクロセグメンテーションでは、ネットワーク同士を接続することなく他のネットワーク上のアプリケーションにアクセスできるため、M&A後の統合作業を合理化できます。また、管理者は統合された組織全体のセキュリティ態勢を管理し、複数のVPC、リージョン、パブリック クラウドのワークロードを保護できます。
  • 仮想デスクトップ インフラ:マイクロセグメンテーションは、明示的に許可されたサイトやプライベート アプリケーションに正しいアクセス制御ポリシーを適用し、クラウド インフラから提供されるVDIを保護します。
  • ワークロードのセグメント化:マイクロセグメンテーションにより、さまざまなVPC/VNet、リージョン、またはパブリック クラウドにあるクラウド ワークロードの接続をきめ細かく制御できるようになります。

従来のセグメンテーションを超えるマイクロセグメンテーション

マイクロセグメンテーションは、ネットワーク セキュリティに対して動的でコンテキスト認識型のアプローチを提供します。従来のネットワーク セグメンテーションがIPアドレスに基づく静的なファイアウォール ルールに依存していたのに対し、マイクロセグメンテーションはアプリケーション層、ユーザーのアイデンティティー、デバイス属性に焦点を当てます。マイクロセグメンテーション ポリシーは特定のIPアドレスに関連付けられていないため、オンプレミスのデータ センターやマルチクラウド環境を含む、最新のネットワークに適応しやすいのが特長です。

従来のセグメンテーションでは定期的なルールの更新が必要ですが、マイクロセグメンテーションでは、ネットワーク構成の変更、モバイル デバイスとユーザー、進化する脅威に動的に対応します。マイクロセグメンテーションはユーザーの振る舞いやアプリケーションのコンテキストなどを考慮し、現代のIT環境により堅牢で柔軟かつ効果的なセキュリティ フレームワークを提供します。

従来のセグメンテーション アプローチでは不十分な理由

ネットワーク アドレスに基づいたセグメンテーションのアプローチでは、例えばソフトウェアのアイデンティティーを特定できないなどのように、何が通信しているのかを識別できません。このアプローチでできるのは、「リクエスト」の発信元であるIPアドレス、ポート、プロトコルなど、どのように通信しているかを識別することのみです。つまり、IT部門やセキュリティ部門が通信を試みている存在が何なのかを正確に把握していなくても、「安全である」と見なされている限り通信は許可されてしまうのです。

さらに、あるエンティティーがネットワーク上の「セキュア ゾーン」に一旦入るとそのエンティティーは信頼されるため、侵害が発生したり、フラットなネットワークにおいてはラテラル ムーブメントにつながる可能性があります。

マイクロセグメンテーションの機能とメリット

マイクロセグメンテーションには、次のような機能とメリットがあります。

  • ネットワーク全体でセキュリティの制御と管理を一元化:マイクロセグメンテーションは南北方向ではなく東西方向のトラフィックを管理するため、対象となるセグメントを通過するすべてのトラフィックに対してポリシーが適用されます。また、ポリシーがより明確であるため、ネットワーク セグメンテーションに比べてネットワーク アクティビティーの可視性がはるかに高くなります。
  • 自動的に適応するセグメンテーションのポリシー:ポリシーはハードウェアではなくワークロードに適用されるため、インフラの変更に影響されません。つまり、ITセキュリティ部門は業務を中断させることなく、一連の制御をどこにでも拡張できます。
  • 隙のない保護:セキュリティ ポリシーの適用はプライベート クラウド、パブリック クラウド、コンテナー、オンプレミスのデータ センター、ハイブリッド クラウド環境、オペレーティング システムにまで及びます。これはポリシーがネットワークのセグメントではなく、ワークロードに特化しているためです。
  • 監査の簡素化:マイクロセグメンテーションは各リソースを一意に識別するため、他のアプローチよりも可視性が大幅に向上し、規制順守のための監査をより迅速かつ簡単に実施できます。

ベンダーの中にはマイクロセグメンテーションに特化しているものもあります。データ センターにおける東西トラフィックのIDベースの「マイクロセグメンテーション(よりきめ細かなソフトウェア定義型セグメンテーション。ゼロトラスト ネットワーク セグメンテーションとも呼ばれる)」に対する要件は高まってきており、これをサポートするソリューションが必要です。

Neil MacDonald氏, Tom Croll氏, Gartner Market Guide to Cloud Workload Protection、2020年4月

マイクロセグメンテーションのビジネス上のメリット

ネットワークとITのプロアクティブなセキュリティ

マイクロセグメンテーションは、すべてのアプリとサービスに追随するアプリケーション認識型のポリシーを作成することで、従来のセグメンテーションに共通するセキュリティの障害を取り除きます。その結果、潜在的なデータ侵害は影響を受けた資産の中に封じ込められ、ネットワーク全体に広がることはありません。この最も効果的なマイクロセグメンテーション サービスは、自動化の活用により、すべての通信ソフトウェアの識別、ゼロトラスト ポリシーの推奨、ワンクリックでの適用といった機能を提供します。

脆弱性の軽減

IPアドレス、ポート、およびプロトコルに依存する静的な制御の代わりに、各ワークロードについて暗号によるフィンガープリンティングを行い、内部のデータ センターまたはクラウドで動作するワークロードに向けて一貫した保護を提供することが可能です。このフィンガープリンティングにより、ワークロードのセキュリティをIPアドレス構造から切り離すことができるため、IPベース制御に関連した問題を回避できます。

継続的なリスク評価

マイクロセグメンテーションを使用することで、可視化されているネットワークの攻撃対象領域を自動的に測定し、使用されている可能性のあるアプリケーションの通信経路の数を把握することができ、リスク エクスポージャーの定量化が可能になります。一部のサービスでは、ソフトウェアが通信をリクエストするたびに、そのアイデンティティーを検証することもでき、リスクの軽減や規制コンプライアンス準拠のサポートを行えるほか、視覚化されたリスク レポートも提供できます。

マイクロセグメンテーションを成功させるためのベスト プラクティス

マイクロセグメンテーションを成功させるためには、業界や規制上の義務などによって異なりますが、次のような一般的なベスト プラクティスを計画に含める必要があります。

  • アプリケーションレベルの認識、ユーザー アイデンティティー、デバイス属性に基づいて、詳細かつきめ細かな最小特権アクセス ポリシーを作成し、アクセスは各ユーザーまたはエンティティーが作業を行うために必要なリソースのみに制限します。
  • アイデンティティーおよびアクセス管理(IAM)システムと統合して、ユーザーの役職と権限に合わせたポリシーを適用します。
  • ネットワーク トラフィックとポリシー施行のリアルタイムかつ継続的なモニタリングと監査を実装して、異常やポリシー違反を検出します。
  • ネットワーク構成やセキュリティ態勢の変更に応じて、ポリシーを実装および調整する自動ツールを利用します。
  • 定期的なセキュリティ監査とペネトレーション テストを実施し、文書化を徹底することで、ポリシーの有効性を維持するとともに、コンプライアンスに関するレポートとトラブルシューティングをサポートします。

ゼロトラスト セグメンテーション

ゼロトラストのセキュリティ モデルはマイクロセグメンテーションの原則に基づいています。ポリシーはネットワーク セグメントではなくワークロードに適用されるため、あらゆる接続で十分なコンテキストを確立できない場合には、どのような場所のどのようなリソースへのアクセスも細かく制御できます。

例えば、ゼロトラストのモデル(特にクラウドベースのモデル)では、医療機器に対して他の医療機器としか通信できないポリシーを設定することができます。また、エンドポイント デバイスやワークロードが移動する場合でも、セキュリティ ポリシーとその属性はリアルタイムで追随します。

クラウド セキュリティ プロバイダーの多くは、クラウドベースのゼロトラスト製品に関して、宣伝通りのサービスを提供できません。現在の高度なサイバー脅威からネットワーク、アプリケーション、機密データを保護できる包括的なクラウド ネイティブのゼロトラスト セキュリティを提供しているベンダーはZscalerだけなのです。

Zscalerのソリューション

Zscaler Workload Communicationsは、クラウドのアプリケーションとワークロードを保護するための最新アプローチです。ワークロード向けの安全なゼロトラスト クラウド接続によって、ネットワークの攻撃対象領域の排除、脅威のラテラル ムーブメントの阻止、ワークロード侵害の防止、機密データの流出防止が可能になります。

Workload Communicationsは、Zscaler Zero Trust Exchange™プラットフォームを使用してクラウド ワークロードを保護します。アイデンティティー、リスク プロファイル、ロケーション、行動分析を活用した明確な信頼ベースのセキュリティで悪意のあるアクセスを阻止します。

高度なSSLインスペクションを備えた脅威対策により、さらに強力なサイバー防御が実現します。サイバー保護はクラウドで提供されるため、セキュリティ ポリシーの構成、管理、維持も簡単に行えます。ゼロトラストの保護を採用することで、ネットワークの攻撃対象領域をこれまで以上に簡単に排除できます。

Zscaler Workload Communicationsの仕組みについては、製品ページからデモをリクエストしてください。

おすすめのリソース

よくある質問

ワークロードとは何ですか?

ワークロードとは、アプリケーションとその使用に関連するプロセス、リソース、またはその集合体(通信、処理、管理、実行など)を意味します。クラウドにおいては、アプリケーション自体もワークロードに含まれます。ワークロードを理解し管理することで、脆弱性の検出と解決、データとアクセス ポイントの保護、認証と暗号化の実装、潜在的な脅威の監視と緩和が可能になります。

マイクロセグメンテーションにはどのような例がありますか?

ある企業が重要な資産(データベース、サーバー、ワークステーションなど)を分離して保護するために、ハイブリッド クラウド アーキテクチャーのマイクロセグメンテーションを行うと仮定します。各セグメントには独自のアクセス制御、ファイアウォール、侵入検知システムがあるため、ラテラル ムーブメントを制限して侵害の影響範囲を抑えることができます。ユーザー エンドポイントを侵害したハッカーは、そのエンドポイントのセグメントにのみアクセスでき、機密データや重要なインフラにはアクセスできません。

マイクロセグメンテーションのデメリットは何ですか?

マイクロセグメンテーションの実装と管理は、特に大規模で動的なネットワークでは複雑になる場合があります。さらに、ルーティングの複雑さやセグメント境界でのトラフィック検査は、ネットワークとセキュリティ アーキテクチャーが十分に拡張できない場合、パフォーマンスに影響を与える可能性があります。こうした問題を発生させないためにも、ワークロードとそのニーズに適したツールとベンダーを採用することが重要です。

なぜマイクロセグメンテーションが必要なのですか?

現代の複雑なデジタル環境の中で企業が重要な資産を保護するためには、マイクロセグメンテーションが不可欠です。広範なネットワークとセキュリティ インフラでマイクロセグメントに分離することで、ネットワーク セグメント間の通信をきめ細かく制御できるため、ラテラル ムーブメントを制限し、攻撃対象領域を減らして侵害を封じ込めることができます。リモート ワーク、IoT、クラウドがこれまで以上に浸透しつつある中で、マイクロセグメンテーションは従来の境界ベースのセキュリティ以上の制御機能を提供し、より強固なセキュリティ態勢を実現します。

どのような組織がネットワークや環境をセグメント化する必要がありますか?

マイクロセグメンテーションは、機密データを扱う組織や重要インフラを運用する組織、またはHIPAAやGDPRなどの規制の対象となる組織(医療、金融、政府、電子商取引など)にとって特に重要ですが、あらゆる規模や業界の組織にメリットがあります。マイクロセグメンテーションは、セキュリティの強化、データの整合性の確保、侵害による影響範囲の最小化に役立ちます。

マイクロセグメンテーションはコスト削減につながりますか?

マイクロセグメンテーションは、設備投資と運用コストの両方を削減するうえで役立ちます。インフラのセキュリティを強化することで、データ侵害や業務の中断を防ぎ、最終的にはセキュリティ インシデントによる経済的損失額も削減できます。さらに、ネットワーク管理を合理化して、多大なハードウェアへの投資の必要性を下げ、管理オーバーヘッドを削減することで運用コストを節約できます。

マイクロセグメンテーションがゼロトラストの鍵となる理由は何ですか?

効果的なマイクロセグメンテーションは、ゼロトラスト アプローチの主要要素であるきめ細かな最小特権アクセスを施行することで、脅威のラテラル ムーブメントを制限し、全体的な攻撃対象領域を減らします。すべての接続は検証されてから許可されるため、攻撃者は簡単に権限を昇格できなくなります。ゼロトラストと同様に、このアプローチはこれまでの「信頼を前提とする」考えに基づいた境界防御では実現できない方法でセキュリティを強化します。

ファイアウォールとマイクロセグメンテーションの違いは何ですか?

大まかな言い方をすれば、ファイアウォールは境界のセキュリティ技術であり、マイクロセグメンテーションは内部のセキュリティ戦略です。ファイアウォールは、ネットワークに出入りするトラフィックの制御に重点を置いています。マイクロセグメンテーションは、ネットワークを分離されたセグメントに分割し、多くの場合個々のワークロードまたはデバイス レベルできめ細かなセキュリティ ポリシーを施行します。マイクロセグメンテーションはこれらのセグメント間のトラフィックを制御し、特に複雑なクラウド中心の環境でラテラル ムーブメントを制限し、リソースへのアクセスをきめ細かく制御します。