ファイアウォールの新たなゼロデイ脆弱性が話題になっています。ファイアウォールやVPNについて不安をお持ちの場合は、Zscalerの特別オファーをご活用ください。

詳細はこちら
Zpedia / ネットワーク セグメンテーションとは

ネットワーク セグメンテーションとは

ネットワーク セグメンテーションとは、ネットワークをそれぞれ固有のセキュリティ ポリシーとプロトコルを持つ複数のサブネットワークに分割し、ラテラル ムーブメントの防止を図ることを指します。サイバー攻撃への対抗策として、ネットワークの攻撃対象領域を減らすために最も広く使用されている手段の1つです。

VLANとファイアウォールを超えたセグメンテーションについて

ネットワーク セグメンテーションとマイクロセグメンテーションの比較

詳しい説明に入る前に、ネットワーク セグメンテーションとマイクロセグメンテーションの違いについて確認しておきましょう。

ネットワーク セグメンテーションは南北方向(外部ネットワークとの縦方向)のトラフィックに最も効果を発揮する一方、マイクロセグメンテーションは東西方向(サーバー間、アプリからサーバー、Webからサーバーなどの横方向)のトラフィックに保護層を追加するものです。ネットワーク セグメンテーションを城の堀や外壁に例えるなら、マイクロ セグメンテーションは城内の各部屋の入り口に立つ衛兵のようなものだと言えるでしょう。

ネットワーク セグメンテーションを使用すべき理由

ネットワーク セグメンテーションは事後対応型ではなくプロアクティブな防御であり、いくつかの重要なメリットをもたらします。事後対応型の防御(侵害が発生して初めて調査とダメージ コントロールを実施)では、通常大きなコストがかかるうえ、情報漏洩、コンプライアンス上の問題、信用失墜を招く可能性もあります。

プロアクティブな防御とは、すなわち予防です。潜在的なリスクや脆弱性が悪用される前に対処することを目指します。そして、ネットワーク セグメンテーションは、現在最も一般的な予防策の1つです。

ネットワーク セグメンテーションの種類

従来、ネットワーク セグメンテーションには基本的に以下の2種類のものがありました。

  • 物理セグメンテーションでは、個別のファイアウォール、配線、スイッチ、およびインターネット接続を使用してコンピューター ネットワークを分離します。より費用がかさむうえ、スケーラビリティーで劣る手法です。
  • 仮想セグメンテーション(論理セグメンテーションとも呼ばれます)は、同じファイアウォールで保護できる、仮想ローカル エリア ネットワーク (VLAN)を使用してネットワーク トラフィック フローをセグメント化するものです。

ネットワーク セグメンテーションのユース ケース

では、ネットワーク セグメンテーションは具体的にどのように役立つのでしょうか。簡潔にまとめると以下のとおりです。

  • 外部からの脅威のラテラル ムーブメントの阻止:セグメント化されたネットワークでは、1つのセグメントでデータ侵害が発生しても、別のセグメントのデータにとっては差し迫った脅威になりません。
  • 内部の脅威のラテラル ムーブメントの阻止:ビジネス ニーズに応じたアクセスのセグメント化(人事部は財務データにアクセスできないようにするなど)によって、内部からの攻撃のリスクを軽減できます。
  • 内部ネットワークとゲスト ネットワークの分離:ゲストを別のセグメントに留めておくことで、内部のデバイスやデータを危険にさらすことなくゲストに接続を提供できます。
  • 規制対象データの保護と各種規制への準拠:アクセス制限を施したセグメントに機密データを保存することで、機密データの保護が強化され、データ関連の規制順守に役立ちます。

 

ネットワーク セグメンテーションのメリット

階層やサブネットを持たないフラットなネットワークと比べると、セグメント化されたネットワークには、使用するスキーマによらず明らかなメリットがあります。具体的には以下のようなものです。

  • 機密データに対するサイバーセキュリティの強化:このメリットには、侵害防止(南北方向の移動)、アクセス制御の強化、および各セグメントに対する個別のセキュリティ制御が含まれます。
  • 規制順守の対応簡素化:特定のデータにアクセスできるユーザーとそのデータの流れを制限することで、PCI DSSやGDPRなどの規制の順守とそのための監査が簡素化されます。
  • リスク分析とダメージ コントロールの簡素化:サイバー犯罪者がネットワーク全体を自由に移動できなければ、攻撃手法や組織のセキュリティ ポスチャーの弱点を特定することが容易になります。
  • エンドポイントおよびユーザーの保護の強化:脅威がセグメントをまたいで簡単に拡散することのないようにできれば、エンド ユーザーとエンドポイントの安全性が高まると同時に、各セグメントもエンドポイントで発生する脅威から守られます。
  • ネットワーク輻輳の軽減:1つのセグメントのアクティビティーによって、ネットワークの別の部分のアクティビティーが抑制されることはありません。たとえば、ゲストWi-Fiを利用している顧客がいても、クレジット カードの決済処理が遅くなることはありません。

ネットワーク セグメンテーションのベスト プラクティス

効果的なネットワーク セグメンテーションを実装および維持するためのベスト プラクティスを5つ紹介します。

1. 過剰なセグメンテーションを避ける

過剰なセグメンテーションを行うと、ネットワーク全体の可視性が低下し、管理が困難になる可能性があります。一方、セグメンテーションが不十分な場合は、大きな攻撃対象領域を残してしまうことになり、セキュリティ態勢が損なわれるため注意が必要です。

2. 定期的な監査を実施する

ネットワーク セグメンテーションによりネットワーク セキュリティを改善するためには、セグメントの脆弱性、厳格なアクセス許可、更新を継続的に監査する必要があります。保護する範囲に悪用される隙を作らなければ、ハッカーに対して優位に立てます。

3. 最小特権の原則に従う

最小特権の原則をすべてのセグメントに適用することで、ユーザー、ネットワーク管理者、セキュリティ部門に対して、必要な場合のみのアクセス許可を徹底できます。最小特権アクセスはゼロトラスト ネットワーク アクセスの基本です。

4. サードパーティーのアクセスを制限する

サードパーティーへのアクセス権付与はそれ自体がリスクが高い行為のため、特に複数のセグメントへのアクセス権を付与する場合は、必要な場合にのみ許可することが重要です。良好なネットワーク セキュリティ態勢を維持するためには、新たなアクセス許可について慎重に検討することが大切になります。

5. 可能な部分を自動化する

ネットワーク セグメンテーションを自動化すると、可視性やセキュリティの向上、MTTRの改善といった一般的なメリットが得られるほか、新たな資産やデータの速やかな特定および分類(これもセグメンテーションのベスト プラクティスの1つです)が可能になります。

 

ネットワーク セグメンテーションの欠点

複数のクラウド環境とデータ センターに分散されている現在の複雑なネットワーク アーキテクチャーにおいて、ファイアウォール、VLAN、ネットワーク境界を基盤とする古いセグメンテーション モデルには決定的な弱点が生まれます。

従来のファイアウォールには、セグメンテーションの本来の目的に反して、ラテラル ムーブメントを可能にするフラットなネットワークを構築してしまうという重大な欠点があります。この欠点の補完は、運用上非常に大きな負担となる複雑性なプロセスです。次世代ファイアウォールもアプリケーションへのアクセスのためにユーザーをネットワーク上に置くことには変わりはなく、VLANにも同じ弱点があります。

従来のアプローチでは、以下の課題への対処が必要になります。

  • 過剰な信頼:従来のファイアウォール ベースのセグメンテーションは外部からの攻撃を防ぐように構築されており、内部の脅威に対して脆弱性が残る可能性があります。
  • 設定ミス:現代のアーキテクチャーではVLANに設定ミスが生じる可能性が高く、特にサードパーティーのクラウド プロバイダーを使用していて、自分でインフラストラクチャーを変更できない場合には注意が必要です。
  • 管理の作業負荷の高さ:新しいアプリやデバイスを使用したり変更を適用する場合には、その都度ファイアウォール ルールを更新することになり、脆弱性スキャンなどの日常的な作業についてもより多くのリソースが必要になります。
  • 制御の複雑さ:従来の方法はきめ細かな制御に欠けているため、リモート ワーカーやパートナー、顧客などのセグメンテーション ポリシーを定義するのが複雑になります。
  • スケーラビリティーの問題:ネットワークの拡大に対処するには、より小さなセグメントを作成するか、既存のセグメントをアップグレードする必要があるため、拡張と保守のコストが高くなります。
  • パフォーマンスの低下:ファイアウォールやルーターなどのネットワーク デバイスを追加すると、ネットワーク全体のパフォーマンスへの悪影響が増大します。

セグメンテーションに向けた優れた方法であるZTNA

クラウドのスケーラビリティー、柔軟性、場所を問わない利便性に対する依存度が高まるにつれ、従来のセグメンテーションなどの純粋なネットワーク セキュリティ戦略の多くは現実的ではなくなってきています。今求められているのは、あらゆるリスクと複雑性が伴う内部ネットワークという要素を排除したモデルです。

ゼロトラスト ネットワーク アクセス(ZTNA)は、どのユーザーやデバイスも基本的には信頼できないという概念に基づくフレームワークです。このアプローチでは、アイデンティティーをはじめ、デバイス、場所、アプリケーション、コンテンツなどのコンテキストに基づき、最小特権の原則に則ってアクセス ポリシーが構築されます。

ZTNAでは、ユーザーを1対1でアプリケーションに直接接続し、決してネットワークには接続しないため、ラテラル ムーブメントが防止されます。これにより、従来のVPNやファイアウォールでは不可能だった、根本的に異なる効果的なセグメンテーションを実現できます。

ZTNA市場の現状、推奨事項、トレンドについては、Gartner® Market Guide for Zero Trust Network Accessをご覧ください。

ZTNAが従来のセグメンテーションより優れている理由

従来のセグメンテーションと比較して、ZTNAは以下の点において優れています。

  • 適応型かつアイデンティティー認識型で、精度の高いアクセスを、ネットワーク アクセスなしで実現します。これにより、暗黙の信頼を排除し、明確なアイデンティティーベースの信頼に置き換えます。
  • ネットワーク接続を必要としないため、内部アプリケーション(およびIPアドレス)がインターネットに公開されることはなく、攻撃対象領域とリスクが軽減されます。
  • ユーザーとアプリ間のレベルのセグメンテーションを、クラウドで適用されるきめ細かいアクセス ポリシーを通じて提供します。アクセス ポリシーとファイアウォール ルールを設定する必要はありません。
  • 柔軟性、俊敏性、スケーラビリティーが向上し、内部ファイアウォールの必要性が減少します。ZTNAは、クラウド サービスまたはオンプレミスの管理対象のソフトウェアとして提供できます。
  • 安全なアプリケーション アクセスを、非管理対象のデバイスや外部パートナーにも提供します。その際ユーザーにはネットワークにアクセスさせず、マルウェア拡散のリスクを最小限に抑えます。

Zscalerとネットワーク セグメンテーション

 

Zscaler Private Access™は、世界トップクラスの導入件数を誇るZTNAプラットフォームです。最小特権の原則を適用することで、ユーザーをネットワーク上に配置せずに、プライベート アプリケーションへの安全な直接接続を実現します。

計画段階である場合でも、古くなった従来のセグメンテーション モデルを運用している場合でも、当社はZTNAを通じて成熟したセグメンテーションの実現をサポートします。導入の始め方は以下の通りです。

  1. 既存のVPNとファイアウォールをZscaler Private Accessに置き換え、攻撃対象領域を減らしてユーザーとアプリ間のセグメンテーションによりラテラル ムーブメントを排除します。

  2. アプリ間のセグメンテーションを実装して、ハイブリッドおよびマルチクラウド環境のクラウド ワークロードとアプリケーションにZTNAを導入します。

  3. 最後に、クラウド内の通信のためにプロセス間/アイデンティティーベースのマイクロセグメンテーションを実装します。

詳細はZscaler Private Accessのページをご覧ください。

おすすめのリソース

よくある質問

ネットワーク セグメントとは何ですか?

ネットワーク セグメント(セキュリティ ゾーンと呼ばれることもあります)は、ネットワーク上の隔離または分離された領域です。セグメントにはそれぞれに個別のセキュリティ ポリシー、アクセス制御リスト(ACL)、プロトコルを設定し、よりきめ細かな制御と保護を適用できます。

ネットワーク セグメンテーションを行うべきなのはなぜですか?

ネットワーク セグメンテーションを行う理由として重要なものの1つに、セキュリティ侵害が発生した際の潜在的な被害範囲の抑制があります。ネットワークがセグメントに分かれていれば、脅威を隔離し、ラテラル ムーブメントを防いで攻撃対象領域を最小限に抑えることができます。

コリジョン ドメインとは何ですか?

コリジョン ドメインとは、複数のデバイスが1つのデータ パスを共有するネットワーク セグメントのことです。2つ以上のデバイスが同時にこのパスを使用しようとすると、結果として「コリジョン(衝突)」が生じ、ネットワーク速度の低下を招く可能性があります。一般に、コリジョンを回避するには、それに特化した管理が必要となります。