リソース > セキュリティー用語集 > マイクロセグメンテーションとは

マイクロセグメンテーションとは

マイクロセグメンテーションの定義

マイクロセグメンテーションは、リソース間のネットワーク アクセス(例: サーバー間や東西方向のトラフィックなど)をより適切に管理できるサイバーセキュリティーの手法です。各リソース(例: サーバー、アプリケーション、ホスト、ユーザー)を一意に識別することで、組織はデータ トラフィックをきめ細かく制御するアクセス許可の設定が可能になります。ゼロトラストの原則を使用して導入することで、マイクロセグメンテーションは脅威の水平移動やワークロードへの侵害、情報漏洩の阻止に効力を発揮します。

 

マイクロセグメンテーションとネットワーク セグメンテーションとの違い

ネットワーク セグメンテーションとマイクロセグメンテーションはよく同じ意味で用いられますが、両者は根本的に異なる概念です

ネットワーク セグメンテーションは、南北方向のトラフィック、つまりネットワークに出入りするトラフィックに対して使用するのが最も適切です。ネットワーク セグメンテーションでは、一般にユーザーなどのエンティティーは、ネットワークの指定されたゾーン内に入った段階で信頼されます。

一方、マイクロセグメンテーションは東西方向のトラフィック、つまりデータセンターまたはクラウド ネットワークを移動するトラフィック(例: 異なるサーバー間、アプリケーションとサーバー間など)に最も適しています。簡単に言えば、ネットワーク セグメンテーションは城を守る外壁と堀のようなものですが、マイクロセグメンテーションは城内にあるそれぞれの扉の前に立つ守備隊のようなものです。

 

マイクロセグメンテーションの仕組み

マイクロセグメンテーションのソリューションを用いることで、安全なゾーンを作成し、ワークロードを互いに分離させた上で個別に保護できます。つまり、ネットワーク トラフィックのきめ細かいパーティショニングを可能にし(これが「マイクロ」と呼ばれる理由です)、サイバー攻撃に対する耐性を高めるよう構築されているのです。

マイクロセグメンテーション ポリシーを含むアプローチにより、ITおよびセキュリティー部門は、さまざまな種類のトラフィックに合わせて設定を調整することができ、ワークロード間におけるネットワークおよびアプリケーション フローを、明示的に許可されたものに限定する制御を実現できます。

セグメンテーション ルールをワークロード レベルまたはアプリケーションにまで適用することで、IT部門は攻撃対象領域を縮小して、攻撃者が侵害されたワークロードまたはアプリケーションから別のワークロードやアプリケーションに移動するリスクを軽減できます。

 

従来型のセグメンテーションアプローチが通用しない理由

従来型のネットワーク セグメンテーション ソリューションは、ネットワーク アドレスを使用してルールを適用するファイアウォールに依存しています。しかし、ネットワークは常に変化しているため、アプリケーションやデバイスが移動する際にはポリシーを継続的に更新する必要があります。このことは、オンプレミスのデータセンターやマルチクラウド環境、および一時的なIPアドレスが付与される場合に問題となります。

加えて、セグメンテーションに対するネットワーク アドレスベースのアプローチでは、たとえばソフトウェアのアイデンティティーが特定不能であるなど、何が通信しているかを識別することができません。可能なのは、「リクエスト」が発信されたIPアドレスやポート、またはプロトコルなど、どのように通信が実行されているかを識別することです。すなわち、IT部門やセキュリティー部門は、何が通信を試みているのかを正確に把握していなくても、「安全」であると見なされる限り通信は許可されます。

さらに、一旦ネットワーク上の「安全なゾーン」内に入ったエンティティーは信頼されてしまうため、セキュリティー侵害やフラットネットワークにおける水平移動を招く恐れがあります。

 

マイクロセグメンテーションが重要な理由

マイクロセグメンテーションは、IT部門がリソースのアイデンティティーに基づいてポリシーとアクセス許可を設定できる特徴があるため、データセンター内で通信する個々のワークロードの特性に基づいて、ワークロードのインテリジェントなグループを作成するための理想的な方法と言えます。

その上、マイクロセグメンテーションは、動的に変化するネットワークやそれに付随するビジネスもしくは技術的な要件に依存しないため、より強力で信頼性の高いネットワーク セキュリティーを実現できます。事実、これはゼロトラスト ネットワーク アクセス(ZTNA)フレームワークの基盤となる部分であり、アクセス制御を簡素化できることが証明されています。

また、管理もより簡単で、数百種類のアドレスベースのファイアウォール ルールを設定する必要はなく、わずか数件のアイデンティティーベースのポリシーでセグメントを保護することができます。

 

マイクロセグメンテーションの特徴

マイクロセグメンテーションには、以下のような技術的なメリットがあります。

  • ネットワーク全体で一元化されたセキュリティーの制御と管理: マイクロセグメンテーションは南北方向ではなく東西方向のトラフィックを管理するため、対象となるセグメントを通過するすべてのトラフィックに対してポリシーが適用されます。また、ポリシーがより明確であるため、ネットワーク セグメンテーションに比べてネットワーク アクティビティーの可視性がはるかに高くなります。
  • 自動的に適応するセグメンテーション ポリシー: ポリシーはハードウェアではなくワークロードに適用されるため、インフラストラクチャの変更に影響されません。つまり、ITセキュリティー部門はダウンタイムを発生させずに、一連の制御をどこにでも拡張できるようになります。
  • ギャップのない保護: セキュリティー ポリシーは、クラウド、コンテナ、オンプレミス データセンター、およびハイブリッド クラウド環境にまたがって適用されます。これは、ポリシーがネットワークのセグメントではなくワークロードごとに特有のものであり、セキュリティーの対象範囲におけるすべての潜在的な脆弱性に対処するためです。
ベンダーの中には、マイクロセグメンテーションのみに特化しているものもあります。どのような場合でも、データセンターにおける東西方向のトラフィックに向けた、アイデンティティベースの「マイクロセグメンテーション」(ソフトウェアで定義されたよりきめ細かいセグメンテーションで、ゼロトラスト ネットワーク セグメンテーションとも呼ばれます)に対する要求は高まってきており、これをサポートするソリューションが必要です。
Neil MacDonald、Tom Croll、Gartner Market Guide For Cloud Workload Protection、2020年4月

マイクロセグメンテーションのビジネス上のメリット

積極的なネットワークおよびITのセキュリティー

マイクロセグメンテーションは、すべてのアプリとサービスに追随するアプリケーション認識型のポリシーを作成することで、従来型のセグメンテーションに共通してみられるセキュリティー障害を取り除きます。その結果、潜在的なデータ侵害は、ネットワーク全体ではなく影響を受ける資産の中に封じ込められます。マイクロセグメンテーションのサービスの中には、自動化を活かして通信を行うすべてのソフトウェアを識別し、ゼロトラスト ポリシーを推奨しながらワンクリックで適用する機能を提供できるものもあります。
 

脆弱性の軽減

IPアドレス、ポート、およびプロトコルに依存する静的な制御の代わりに、各ワークロードについて暗号によるフィンガープリンティングを行い、内部のデータセンターまたはクラウドで動作するワークロードに向けて一貫した保護を提供することが可能です。このフィンガープリンティングにより、ワークロードのセキュリティーをIPアドレス構造から切り離すことができるため、IPベース制御に関連した問題を回避できます。
 

継続的なリスク評価

マイクロセグメンテーションを使用すると、目に見えるネットワークの攻撃対象領域を自動的に測定して、使用されている可能性のあるアプリケーションの通信経路の数を把握することができるようになり、リスク エクスポージャーの定量化が可能になります。一部のサービスでは、ソフトウェアが通信をリクエストするたびに、通信を行う当該ソフトウェアのアイデンティティーを検証することもでき、リスクの軽減や規制コンプライアンス準拠のサポートを行えるほか、視覚化されたリスクレポートも提供できます。

 

ゼロトラスト セグメンテーション

前述した通り、ゼロトラストのセキュリティー モデルはマイクロセグメンテーションの原則に基づいており、ポリシーはネットワーク セグメントではなくワークロードに適用されるため、十分なコンテキストを確立できない場所のリソースに対する信頼を完全に遮断することができます。

たとえば、ゼロトラストのモデル(特にクラウドベースのモデル)では、医療機器に対して他の医療機器としか通信できないポリシーを設定することが可能です。また、エンドポイント デバイスやワークロードが移動する場合でも、セキュリティー ポリシーとその属性はリアルタイムで追随します。

多くのクラウド セキュリティー ベンダーは、クラウドベースのゼロトラストに関して、宣伝するとおりのサービスを提供できません。現在の高度なサイバー脅威からネットワークやアプリケーション、機密データを保護できる包括的なゼロトラスト セキュリティーをクラウドから提供しているベンダーは、Zscalerだけです。

 

Zscalerのソリューション

Zscaler Workload Segmentation(ZWS)は、あらゆるクラウドまたはデータセンター環境における、マイクロセグメンテーションのプロセスの自動化と簡素化を実現するためにゼロから構築されました。ZWSは理解しやすいアイデンティティーベースのポリシーに基づいて構築されており、ネットワークやアプリケーションを変更することなく、ワンクリックでリスクを特定してワークロードに保護を適用し、セキュリティーを強化できます。

Zscaler Workload Segmentationを使用することで、効果的なゼロトラストによる保護を導入しながら、ネットワークの攻撃対象領域を排除するプロセスがかつてないほど容易になります。

ZWSがビジネスにどう活用できるかについては、当社の製品ページをご覧ください。

マイクロセグメンテーションとネットワーク セグメンテーションの違い

ブログを読む(英語)
ブログを読む(英語)

ゼロトラスト セグメンテーション計画の規模の最適化

ブログを読む(英語)
マイクロセグメンテーションのブログ

アプリケーション アイデンティティーとは何か、なぜ重要なのか

ブログを読む(英語)

クラウドとデータセンターにおけるゼロトラスト セグメンテーション

データシートを読む(英語)
クラウドとデータセンターにおけるゼロトラスト セグメンテーション