Zpedia / マイクロセグメンテーションとは

マイクロセグメンテーションとは

マイクロセグメンテーションは、リソース間のネットワーク アクセス(例: サーバー間や東西方向のトラフィックなど)をより適切に管理できるサイバーセキュリティの手法です。各リソース(例: サーバー、アプリケーション、ホスト、ユーザー)を一意に識別することで、データ トラフィックをきめ細かく制御するアクセス許可の設定が可能になります。ゼロトラストの原則を使用して導入することで、マイクロセグメンテーションは脅威の水平移動やワークロードへの侵害、情報漏洩の阻止に効力を発揮します。

マイクロセグメンテーションの基礎知識(英語)

マイクロセグメンテーションが重要な理由

マイクロセグメンテーションには、IT部門がリソースのアイデンティティーに基づいてポリシーとアクセス許可を設定できる特徴があります。そのため、データ センター内で通信する個々のワークロードの特性に基づいてインテリジェントなグループ分けを実現する理想的な方法と言えます。

その上、マイクロセグメンテーションは、動的に変化するネットワークやそれに付随するビジネスもしくは技術的な要件に依存しないため、強力で信頼性の高いネットワーク セキュリティを実現できます。事実、これはゼロトラスト ネットワーク アクセス(ZTNA)フレームワークの基盤となる部分であり、アクセス制御を簡素化できることが証明されています。

また、管理もより簡単で、数百種類のアドレスベースのファイアウォール ルールを設定する必要はなく、わずか数件のアイデンティティーベースのポリシーでセグメントを保護することができます。

マイクロセグメンテーションとネットワーク セグメンテーションとの違い

ネットワーク セグメンテーションとマイクロセグメンテーションはよく同じ意味で用いられますが、両者は根本的に異なる概念です

ネットワーク セグメンテーションは、南北方向のトラフィック、つまりネットワークに出入りするトラフィックに対して使用するのが最も適切です。ネットワーク セグメンテーションでは、一般にユーザーなどのエンティティーは、ネットワークの指定されたゾーン内に入った段階で信頼されます。

一方、マイクロセグメンテーションは東西方向のトラフィック、つまりデータ センターまたはクラウド ネットワークを移動するトラフィック(例:サーバー間、アプリケーションとサーバー間など)に最も適しています。簡単に言えば、ネットワーク セグメンテーションは城を守る外壁と堀のようなものですが、マイクロセグメンテーションは城内にあるそれぞれの扉の前に立つ守備隊のようなものです。

マイクロセグメンテーションの仕組み

マイクロセグメンテーションのソリューションを用いることで、安全なゾーンを作成し、ワークロードを互いに分離させた上で個別に保護できます。つまり、ネットワーク トラフィックをきめ細かく分割し(これが「マイクロ」と呼ばれる理由です)、サイバー攻撃に対する耐性を高めるよう構築されているのです。

マイクロセグメンテーション ポリシーを含むアプローチにより、ITとセキュリティの部門はさまざまな種類のトラフィックに合わせて設定を調整することができます。これにより、ワークロード間におけるネットワークおよびアプリケーション フローを、明示的に許可されたものに限定する制御を実現できます。

セグメンテーション ルールをワークロード レベルまたはアプリケーションにまで適用することで、攻撃対象領域を縮小し、攻撃者が侵害されたワークロードまたはアプリケーションから別のワークロードやアプリケーションに移動するリスクを軽減できます。

従来型のセグメンテーションアプローチが通用しない理由

従来型のネットワーク セグメンテーション ソリューションは、ネットワーク アドレスを使用してルールを適用するファイアウォールに依存しています。しかし、ネットワークは常に変化しているため、アプリケーションやデバイスが移動する際にはポリシーを継続的に更新する必要があります。このことは、オンプレミスのデータ センターやマルチクラウド環境、および一時的なIPアドレスが付与される場合に問題となります。

加えて、セグメンテーションに対するネットワーク アドレスベースのアプローチでは、たとえばソフトウェアのアイデンティティーが特定不能であるなど、何が通信しているかを識別することができません。可能なのは、「リクエスト」が発信されたIPアドレスやポート、またはプロトコルなど、どのように通信が実行されているかを識別することです。すなわち、何が通信を試みているのかをIT部門やセキュリティ部門が正確に把握していなくても、「安全」であると見なされる限り通信は許可されます。

さらに、一旦ネットワーク上の「安全なゾーン」内に入ったエンティティーは信頼されてしまうため、セキュリティ侵害やフラットなネットワークにおける水平移動を招く恐れがあります。

マイクロセグメンテーションの特徴

マイクロセグメンテーションには、以下のような技術的なメリットがあります。

  • ネットワーク全体における、一元化されたセキュリティの制御および管理:マイクロセグメンテーションは南北方向ではなく東西方向のトラフィックを管理するため、対象となるセグメントを通過するすべてのトラフィックに対してポリシーが適用されます。また、ポリシーがより明確であるため、ネットワーク セグメンテーションに比べてネットワーク アクティビティーの可視性がはるかに高くなります。
  • 自動的に適応するセグメンテーションのポリシー:ポリシーはハードウェアではなくワークロードに適用されるため、インフラストラクチャーの変更に影響されません。つまり、ITセキュリティ部門はダウンタイムを発生させずに、一連の制御をどこにでも拡張できるようになります。
  • 隙のない保護:セキュリティ ポリシーはクラウド、コンテナー、オンプレミス データ センター、およびハイブリッド クラウド環境にまたがって適用されます。これは、ポリシーがネットワークのセグメントではなくワークロードごとに特有のものであり、セキュリティの対象範囲におけるすべての潜在的な脆弱性に対処するためです。

ベンダーの中にはマイクロセグメンテーションに特化しているものもあります。どのような場合でも、データ センターにおける東西トラフィックのアイデンティティベースの「マイクロセグメンテーション(よりきめ細かいソフトウェアで定義されたセグメンテーションで、ゼロトラスト ネットワーク セグメンテーションとも呼ばれます)」に対する要求は高まってきており、これをサポートするソリューションが必要です。

Neil MacDonald、Tom Croll, Gartner Market Guide to Cloud Workload Protection、2020年4月

マイクロセグメンテーションのビジネス上のメリット

積極的なネットワークおよびITのセキュリティ

マイクロセグメンテーションは、すべてのアプリとサービスに追随するアプリケーション認識型のポリシーを作成することで、従来型のセグメンテーションに共通してみられるセキュリティの障害を取り除きます。その結果、潜在的なデータ侵害はネットワーク全体ではなく影響を受ける資産の中に封じ込められます。マイクロセグメンテーションのサービスの中には、自動化を活かして通信を行うすべてのソフトウェアを識別し、ワンクリックで適用できるゼロトラスト ポリシーを推奨するものもあります。

脆弱性の軽減

IPアドレス、ポート、およびプロトコルに依存する静的な制御の代わりに、各ワークロードについて暗号によるフィンガープリンティングを行い、内部のデータ センターまたはクラウドで動作するワークロードに向けて一貫した保護を提供することが可能です。このフィンガープリンティングにより、ワークロードのセキュリティをIPアドレス構造から切り離すことができるため、IPベース制御に関連した問題を回避できます。

継続的なリスク評価

マイクロセグメンテーションを使用することで、可視化されているネットワークの攻撃対象領域を自動的に測定し、使用されている可能性のあるアプリケーションの通信経路の数を把握することができ、リスク エクスポージャーの定量化が可能になります。一部のサービスでは、ソフトウェアが通信をリクエストするたびに、そのアイデンティティーを検証することもでき、リスクの軽減や規制コンプライアンス準拠のサポートを行えるほか、視覚化されたリスク レポートも提供できます。

Best Practices for Successful Microsegmentation

So, how do you realize those benefits? The specifics are going to look different depending on your industry, regulatory obligations, and more, but a few general best practices should be part of any successful microsegmentation plan:

  • Create detailed, granular least-privileged access policies based on application-level awareness, user identities, and device attributes, limiting access to resources to only what each user or entity requires to do their work.
  • Integrate with identity and access management (IAM) systems to ensure your policies align with user roles and permissions.
  • Implement real-time, continuous monitoring and auditing of network traffic and policy enforcement to detect anomalies or policy violations.
  • Utilize automated tools to deploy and adjust policies in response to changes in your network configuration or security posture.
  • Conduct regular security audits and penetration testing, and keep thorough documentation, to ensure your policies remain effective as well as support compliance reporting and troubleshooting.

ゼロトラスト セグメンテーション

前述のように、ゼロトラスト セキュリティ モデルは、マイクロセグメンテーションの原則に基づくものです。ポリシーはネットワーク セグメントではなくワークロードに適用されるため、十分なコンテキストを確立できない場合、どのような場所のどようなリソースであっても接続を細かく制御することができます。

たとえば、ゼロトラストのモデル(特にクラウドベースのモデル)では、医療機器に対して他の医療機器としか通信できないポリシーを設定することが可能です。また、エンドポイント デバイスやワークロードが移動する場合でも、セキュリティ ポリシーとその属性はリアルタイムで追随します。

多くのクラウド セキュリティ ベンダーは、クラウドベースのゼロトラストに関して、謳われたとおりのサービスを提供できません。現在の高度なサイバー脅威からネットワークやアプリケーション、機密データを保護できる包括的なゼロトラスト セキュリティをクラウドから提供しているベンダーは、Zscalerだけです。

Zscalerのソリューション

Zscaler Workload Segmentation (ZWS)は、あらゆるクラウドまたはデータ センター環境における、マイクロセグメンテーションのプロセスの自動化と簡素化を実現するためにゼロから構築されました。ZWSは理解しやすいアイデンティティーベースのポリシーに基づいて構築されており、ネットワークやアプリケーションを変更することなく、ワンクリックでリスクを特定してワークロードに保護を適用し、セキュリティを強化できます。

Zscaler Workload Segmentationは、ソフトウェア アイデンティティーベースの技術を使用し、環境の変化に自動的に適応するポリシーで隙のない保護を提供します。ゼロトラストの保護を採用することで、ネットワークの攻撃対象領域の排除はこれまでにないほど簡素化されました。

Zscaler Workload Segmentationの仕組みについては、製品ページからデモをリクエストして詳しくご確認ください。

おすすめのリソース

よくある質問

What Is a Workload?

A workload is a process, resource, or group of these (e.g., communications, processing, management, execution) related to an application and its use. In the cloud, workloads also encompass applications themselves. Understanding and managing workloads is a key part of finding and resolving vulnerabilities, securing data and access points, implementing authentication and encryption, and monitoring and mitigating potential threats.

What Is an Example of Microsegmentation?

As a simple example of microsegmentation, suppose a company were to microsegment its hybrid cloud architecture to isolate and protect critical assets (e.g., databases, servers, workstations). Each segment has its own access controls, firewalls, and intrusion detection systems, limiting lateral movement and reducing the blast radius of a breach. A hacker who compromised a user endpoint would have access only to that endpoint’s segment, not to sensitive data or critical infrastructure.

What Are the Disadvantages of Microsegmentation?

Implementing and managing microsegmentation can be complex, especially in large and dynamic networks. Moreover, routing complexity and traffic inspection at segment boundaries can impact performance if your network and security architecture aren’t able to sufficiently scale. To overcome these issues, it’s crucial to invest in the right tools, and the right vendor, for your workloads and their needs.

Why Do We Need Microsegmentation?

Organizations need microsegmentation to protect critical assets in today’s complex digital landscape. Isolated microsegments in a broader network and security infrastructure allow for granular control over communication between network segments, helping to limit lateral movement, reduce the attack surface, and keep breaches contained. With the proliferation of remote work, IoT, and the cloud, microsegmentation offers control and stronger security posture where traditional perimeter-based security falls short.

Who Needs to Segment Networks or Environments?

Microsegmentation is especially important for organizations that deal with sensitive data or operate critical infrastructure, or are subject to regulations like HIPAA and GDPR—including healthcare, finance, government, e-commerce, and many others—but organizations of any size, in any industry, can benefit. Microsegmentation helps them can strengthen security, reinforce data integrity, and minimize the blast radius of breaches.

Will Microsegmentation Reduce Costs?

Microsegmentation can help organizations reduce both capex and opex. By making your infrastructure more secure, it helps prevent data breaches and downtime, ultimately saving on potential financial losses associated with security incidents. Moreover, it can streamline network management, reduce the need for extensive hardware investments, and lower administrative overhead, resulting in operational cost savings.

Why Is Getting Microsegmentation Right Key to Zero Trust?

Effective microsegmentation lets you enforce granular least-privileged access—a key component of a zero trust approach—limiting the potential for lateral movement of threats and reduces the overall attack surface. Because each connection must be verified before it’s allowed, it’s far more difficult for attackers to escalate privileges. This approach aligns with zero trust, strengthening security in a way traditional “assumed trust” perimeter defenses simply aren’t built to do.

What's the Difference Between Firewalls and Microsegmentation?

At the highest level, firewalls are a perimeter security technology, while microsegmentation is an internal security strategy. Firewalls focus on controlling traffic going into or out of a network. Microsegmentation divides the network into isolated segments and enforces granular security policies, often at the individual workload or device level. Microsegmentation controls traffic between these segments, limiting lateral movement and providing fine-grained control over access to resources, especially in complex, cloud-centric environments.