ネットワークセグメンテーションの欠点

過度の信頼設定ミス管理の作業負荷の高さ制御の複雑さスケーラビリティーの問題パフォーマンスの低下続きを読む。

リソース > セキュリティー用語集 > ネットワークセグメンテーションとは

ネットワークセグメンテーションとは

Q: ネットワーク セグメンテーションの定義

ネットワーク セグメンテーションとは、ネットワークをそれぞれ固有のセキュリティー ポリシーとプロトコルを持つ複数のサブネットワークに分割し、水平移動の防止を図ることを指します。これはサイバー攻撃への対抗策として、ネットワークの攻撃対象領域を減らすために最も広く使用されている手段の一つです。 詳しくはこちら 。

Q: ネットワーク セグメンテーションとマイクロセグメンテーションの違い

ネットワーク セグメンテーションは南北方向(外部ネットワークとの縦方向)のトラフィックに最も効果を発揮するものである一方で、マイクロセグメンテーションは東西方向(サーバー間、アプリからサーバー、Webからサーバーなどの横方向)のトラフィックにさらなる保護層を追加するためのものです。ネットワーク セグメンテーションを城の堀や外壁に例えるなら、マイクロ セグメンテーションは城内の各客間の入り口に立つ衛兵に例えることができます。

Q: ネットワーク セグメンテーションの種類

物理セグメンテーション では、個別のファイアウォール、配線、スイッチ、およびインターネット接続を使用して、ネットワークの一部を分離します。これは、より高価でスケーラビリティーの低い種類のものです。 仮想セグメンテーション (論理セグメンテーションとも呼ばれます)は、同じファイアウォールで保護できる、仮想ローカル エリア ネットワーク (VLAN)を使用してネットワーク トラフィック フローをセグメント化するものです。 詳細はこちらからご覧ください。

Q: ネットワーク セグメンテーションのメリット

機密データに対するサイバーセキュリティの強化 規制コンプライアンスの要件への対応の簡素化 リスク分析とダメージ コントロールの簡素化 エンドポイントとユーザーの保護 ネットワークの輻輳をネットワークの輻輳の軽減 続きを読む 。

Q: ネットワーク セグメンテーションの欠点

過度の信頼 設定ミス 管理の作業負荷の高さ 制御の複雑さ スケーラビリティーの問題 パフォーマンスの低下 続きを読む 。

Q: ネットワーク セグメンテーションのベスト プラクティス

過剰なセグメンテーションを避けること 定期的な監査を実施すること 最小特権の原則に従うこと サードパーティーのアクセスを制限すること 可能な部分を自動化すること

ネットワークセグメンテーションの定義

ネットワークセグメンテーションとは、ネットワークをそれぞれ固有のセキュリティーポリシーとプロトコルを持つ複数のサブネットワークに分割し、水平移動の防止を図ることを指します。これはサイバー攻撃への対抗策として、ネットワークの攻撃対象領域を減らすために最も広く使用されている手段の一つです。

ネットワークセグメンテーションとマイクロセグメンテーションの違い

説明を続ける前にネットワークセグメンテーションとマイクロセグメンテーションの違いを明確にしましょう。

ネットワークセグメンテーションは南北方向(外部ネットワークとの縦方向)のトラフィックに最も効果を発揮するものである一方で、マイクロセグメンテーションは東西方向(サーバー間、アプリからサーバー、Webからサーバーなどの横方向)のトラフィックにさらなる保護層を追加するためのものです。ネットワークセグメンテーションを城の堀や外壁に例えるなら、マイクロセグメンテーションは城内の各客間の入り口に立つ衛兵に例えることができます。

ネットワークセグメンテーションを使用すべき理由

セグメンテーションは積極的な防御であり、事後対応型のセキュリティーと比較して重要なメリットがあります。

事後対応型のセキュリティーの場合、セキュリティー部門はまず侵害を調査し、その後にダメージコントロールを行います。しかし、これは手間と費用がかさむだけでなく、データの損失やコンプライアンスの問題、企業のイメージの毀損など、さまざまな問題が発生する可能性があります。

世界中の組織が依然としてデータ侵害の被害に遭っている点は、看過できない事実です。Risk Based Securityによると、2021年に公になった4,145件の侵害を通じて、220億件以上の記録が流出しています。

このことから、攻撃されてから対応するのではなく、予防に重点を置き、潜在的なリスクや脆弱性について悪用される前に対処する必要があるということが明確になっています。そして、ネットワークセグメンテーションは、その実践に向けた現在最も一般的な方法の一つなのです。

ネットワークセグメンテーションの種類

従来、ネットワークセグメンテーションには基本的に以下の2種類のものがありました。

物理セグメンテーションでは、個別のファイアウォール、配線、スイッチ、およびインターネット接続を使用して、ネットワークの一部を分離します。これは、より高価でスケーラビリティーの低い種類のものです。
仮想セグメンテーション(論理セグメンテーションとも呼ばれます)は、同じファイアウォールで保護できる、仮想ローカルエリアネットワーク (VLAN)を使用してネットワークトラフィックフローをセグメント化するものです。

ネットワークセグメンテーションの例

では、ネットワークセグメンテーションでは具体的にどのようなことが行われるのでしょうか？いくつかのユースケースを見てみましょう。

外部からの脅威の水平移動を阻止:境界内のネットワークの一部をセグメント化すると、境界が侵害されたとしても、すべてのデータが直ちに脅威にさらされることはありません。
内部にある脅威の水平移動を阻止:例えば財務データには人事部がアクセスできないようにするなど、アクセスの必要性に応じて内部データをセグメント化する(部門ごとのセグメント化など)ことで、内部脅威のリスクを軽減できます。
内部ネットワークとゲストネットワークを分離:ゲストをネットワークの他の部分から分離したゲストセグメント内に配置し続けることで、内部デバイスやデータを危険にさらすことなく、便利な接続を継続して提供することができます。
規制対象のデータを保護し、コンプライアンスを徹底:支払いカード情報などの機密データをアクセスが厳しく制限されたセグメントに保存することで、侵害からデータを保護し、データ関連の規制へのコンプライアンスを順守できます。

ネットワーク・セグメンテーションの仕組みとは？

ネットワーク・セグメンテーションは、ネットワークを複数のゾーンに分割し、各ゾーンごとにセキュリティプロトコルを適用する形でセキュリティとコンプライアンスを管理するプロセスです。一般的には、仮想ローカルエリアネットワーク（VLAN）を使用してネットワークセグメント間のトラフィックを分離した後に、それぞれにファイアウォールでセキュリティを適用してアプリケーションやデータを保護します。

ネットワーク・セグメンテーション（マイクロセグメンテーションとの違いに注意）は、ネットワークの異なるセグメントをポリシーとして作成・維持できるため、パフォーマンス低下を招くことなくセキュリティを提供するソリューションとして推奨されています。しかし、複数のクラウドやデータセンターに分散した複雑なネットワークが普及している今日では、このようなアプローチはもはや意味をなさないかもしれません。

ネットワークセグメンテーションのメリット

使用するスキーマを問わず、セグメント化されたネットワークには、階層やサブネットのないフラットなネットワークに比べて、以下のような明確なメリットがあります。

機密データに対するサイバーセキュリティーの強化:このメリットには、侵害防止(南北方向の移動)、アクセス制御の強化、および各セグメントに対する個別のセキュリティー制御が含まれます。
規制コンプライアンスの要件への対応の簡素化:特定のデータにアクセスできるユーザーとそのデータの流れを制限することで、PCI DSSやGDPRなどの業界および政府の規制に対するコンプライアンスの証明と監査が簡素化されます。
リスク分析とダメージコントロールの簡素化:サイバー犯罪者がネットワーク全体を自由に移動できなければ、攻撃手法や組織のセキュリティーポスチャーの弱点を特定することが容易になります。
エンドポイントとユーザーの保護:これは双方にメリットが出るもので、エンドユーザーとデバイスは、脅威がエンドポイントに広がりにくいセグメント化されたネットワークではより安全となり、セグメント自体も、エンドポイントに起因する脅威から守られます。
ネットワークの輻輳の軽減:一つのセグメントのアクティビティーによって、ネットワークの別の部分のアクティビティーが抑制されることはありません。小売店を例に挙げると、買い物客がゲストWi-Fiを使用していても、クレジットカードの決済処理が遅くなることはありません。

ネットワークセグメンテーションのベストプラクティス

効果的なネットワークセグメンテーションモデルを実装、保守するための正しい方法の例として、ネットワークセグメンテーションの5種類のベストプラクティスを紹介します。

1. 過剰なセグメンテーションを避けること

初めてセグメンテーションを行う際、ネットワークを過度にセグメント化する組織が多く見られます。この場合、ネットワーク全体の可視性が低下し、セグメント化する前よりも管理が難しくなります。ただし、ネットワークセグメンテーションが不十分にならないようにすることも重要です。セグメンテーションが不十分だと、攻撃対象領域が広いままとなり、セキュリティーポスチャーが損なわれます。

2. 定期的な監査を実施すること

ネットワークセグメンテーションはネットワークのセキュリティーを向上させる優れた方法ですが、脆弱性が排除されているか、アクセスの付与が厳重か、そしてアップデートがインストールされているかを継続的にチェックすることで初めて効果を発揮します。そして何より、セグメントの監査を通じ、悪用可能なギャップを保護範囲からなくし、ネットワークのリスクを軽減することで、苛烈な悪意のあるアクターに対して有利な立ち位置を維持できます。

3. 最小特権の原則に従うこと

最小特権アクセスは、アクセス管理全般を左右するものですが、ネットワークセグメンテーションにおいてもその重要性は変わりません。最小特権の原則をすべてのネットワークセグメントに適用することで、ユーザー、ネットワーク管理者、およびセキュリティー部門に対して、必要な場合にのみアクセスを許可することができます。最小特権アクセスがゼロトラストネットワークアクセスの根本をなす理由は、まさにこの点にあります。

4. サードパーティーのアクセスを制限すること

サードパーティーのユーザーにアクセスを付与することは、それだけで高いリスクを伴います。そのため、特にさまざまなネットワークセグメントに対してアクセスを付与する場合は、必要な部分にのみアクセスを付与することが重要です。セグメンテーションによってネットワーク全体のリスクは軽減されますが、ネットワークのセキュリティーポスチャーにどのような影響を及ぼすかを考慮せずに、サードパーティーにアクセスを与えることは推奨されません。

5. 可能な部分を自動化すること

ネットワークをセグメント化すると、自動化を行える貴重な機会が数多く得られます。自動化には可視性の向上、平均修復時間(MTTR)の短縮、セキュリティーの改善といった一般的なメリットがありますが、ネットワークセグメンテーションを自動化すると、新しい資産やデータをすばやく識別して分類することができます。そして、これ自体がセグメンテーションのベストプラクティスの一つでもあります。

従来のセグメンテーションの欠点

複数のクラウドやデータセンターに分散された現在の複雑なネットワークアーキテクチャーにおいて、従来のファイアウォールやVLANのセグメンテーションモデルに大きな弱点があるという点は軽視できません。

従来のファイアウォールには、水平移動を可能にするフラットなネットワークを構築してしまうという、セグメンテーションの利点を損なう重大な欠点があります。これを補うのは運用上大きな負担がかかるうえに複雑であるため、実現はほぼ不可能です。多くの追加機能がある次世代ファイアウォールも、アプリケーションへのアクセスのためにユーザーをネットワーク上に置くことには変わりはありません。また、VLANにも同じ弱点があります。

従来のアプローチでは、以下の課題への対処が必要になります。

過度の信頼:従来のファイアウォールベースのセグメンテーションは外部からの攻撃を防ぐように構築されており、内部の脅威に対して脆弱性が残る可能性があります。
設定ミス:現代のアーキテクチャーではVLANに設定ミスが生じる可能性が大いにあり、特にサードパーティーのクラウドプロバイダーを使用していて、自分でインフラストラクチャーを変更できない場合には注意が必要です。
管理の作業負荷の高さ:新しいアプリやデバイスを使用したり変更を適用する場合には、その都度ファイアウォールルールを更新する必要が生じることになり、脆弱性スキャンなどの日常的な作業についてもより多くのリソースが必要になります。
制御の複雑さ:従来の方法はきめ細かい制御に欠けているため、リモートワーカーやパートナー、顧客などのセグメンテーションポリシーを定義するのが複雑になります。
スケーラビリティーの問題:ネットワークの拡大に対処するには、より小さなセグメントを作成するか、既存のセグメントをアップグレードする必要があるため、拡張と保守のコストが高くなります。
パフォーマンスの低下:ファイアウォールやルーターなどのネットワークデバイスを追加すると、ネットワーク全体のパフォーマンスに悪影響が生じます。

セグメンテーションに向けた優れた方法であるZTNA

クラウドのスケーラビリティー、柔軟性、および対象範囲への依存度が高まるにつれ、従来のセグメンテーションなどの純粋なネットワークセキュリティー戦略の多くは、現実的ではなくなってきています。今求められているのは、あらゆるリスクと複雑性が伴う内部ネットワークという要素を排除したモデルです。

ゼロトラストネットワークアクセス(ZTNA)は、ユーザーやデバイスは本質的に信頼できないという概念に基づくフレームワークを軸とした、新しいアプローチとして登場しました。このアプローチでは、アイデンティティーをはじめ、デバイス、場所、アプリケーション、コンテンツなどのコンテキストに基づき、最小特権の原則に則ってアクセスポリシーが構築されます。

ZTNAでは、ユーザーを1対1でアプリケーションに直接接続し、決してネットワークには接続しないため、水平移動が防止されます。これにより、従来のVPNやファイアウォールでは不可能だった、根本的に異なる効果的なセグメンテーションを実現できます。

従来のセグメンテーションに対するZTNAの利点

従来のセグメンテーションと比較して、ZTNAは以下の点において優れています。

適応型かつアイデンティティー認識型で、精度の高いアクセスを、ネットワークアクセスなしで実現します。これにより、暗黙の信頼を排除し、明確なアイデンティティーベースの信頼に置き換えます。
ネットワーク接続を必要としないため、内部アプリケーション(IPアドレス)がインターネットに露出されることはなく、攻撃対象領域とリスクが軽減されます。
ユーザーとアプリ間のレベルのセグメンテーションを、クラウドで適用されるきめ細かいアクセスポリシーを通じて提供します。アクセスポリシーとファイアウォールルールを設定する必要はありません。
柔軟性、俊敏性、スケーラビリティーが向上し、内部ファイアウォールの必要性が減少します。ZTNAは、クラウドサービスまたはオンプレミスの管理対象のソフトウェアとして提供できます。
安全なアプリケーションアクセスを、非管理対象のデバイスや外部パートナーにも提供します。その際ユーザーにはネットワークにアクセスさせず、マルウェア拡散のリスクを最小限に抑えます。

Zscalerとネットワークセグメンテーション

Zscaler Private Access™は、世界トップクラスの導入件数を誇るZTNAプラットフォームです。最小特権の原則を適用することで、ユーザーをネットワーク上に配置せずに、プライベートアプリケーションへの安全な直接接続を実現します。

計画段階である場合でも、古くなった従来のセグメンテーションモデルを運用している場合でも、当社はZTNAを通じて成熟したセグメンテーションの実現をサポートします。導入の始め方は以下の通りです。

既存のVPNとファイアウォールをZscaler Private Accessに置き換え、攻撃対象領域を減らしてユーザーとアプリ間のセグメンテーションにより水平移動を排除します。
アプリ間のセグメンテーションを実装して、ハイブリッド/マルチクラウド環境(クラウド間)のクラウドワークロードとアプリケーションにZTNAを導入します。
最後に、クラウド内(東西)の通信に、プロセス間/アイデンティティーベースのマイクロセグメンテーションを実装します。

詳細はZscaler Private Accessのページをご覧ください。

Gartner ゼロトラストネットワークアクセスのマーケットガイド 2022

ガイドを読む

ゼロトラストネットワークアクセスサービスを導入するためのネットワークアーキテクトガイド

ホワイトペーパーを読む

ZTNA On-Premisesがもたらす大きなメリット

詳しく見る

ネットワークセグメンテーション:課題と今後の可能性

ブログを読む(英語)

ZTNAテクノロジーの解説と選び方

ブログを読む(英語)

Learn How Zscaler Deepens CrowdStrike Integration to Enable Superior Threat Detection for Zero Trust

ネットワーク セグメンテーションとは

ネットワーク セグメンテーションの定義

ネットワーク セグメンテーションとマイクロセグメンテーションの違い

ネットワーク セグメンテーションを使用すべき理由

ネットワーク セグメンテーションの種類

ネットワーク セグメンテーションの例