リソース > セキュリティ用語集 > ネットワーク・セグメンテーションとは?

ネットワーク・セグメンテーションとは?

ネットワーク・セグメンテーションとは?

組織は常に攻撃にさらされており、さまざまなサイバー防御への多額投資もかかわらず依然侵害の犠牲になっています。「Risk Based Security」の 2019年末のデータ侵害に関する簡易レビュー によると、昨年もデータ侵害活動の「過去最悪の年」を更新し、7098件の侵害により151億件以上の記録が流出しました。

多くのセキュリティ対策は「リアクティブ」なカテゴリーに分類されます。つまり、ITおよびセキュリティチームは、デバイスやネットワークが侵害されてから初めて調査に乗り出し、攻撃による影響を軽減するのです。しかし、リアクティブなセキュリティ対策は継続的なダメージコントロールを必要とするため、煩雑でコストもかさばります。また、規制の不遵守や対外関係上の深刻な結果につながる可能性もあります。

ですので多くの企業は攻撃に事後的に対応するのではなく、潜在的なリスクや脆弱性を予測し、悪用される前に修正することで、攻撃を防ぐプロアクティブなスキームを採用しています。多くの組織はデータセンターにセキュリティハードウェアを積み上げたり、 サービスとしてのセキュリティ を展開することに加え、リスク軽減する様々な手法を取り入れています。その一つとして、ネットワーク・セグメンテーションは広く用いられています。

ネットワーク・セグメンテーションの仕組みとは?

ネットワーク・セグメンテーションは、ネットワークを複数のゾーンに分割し、各ゾーンごとにセキュリティプロトコルを適用する形でセキュリティとコンプライアンスを管理するプロセスです。一般的には、仮想ローカルエリアネットワーク(VLAN)を使用してネットワークセグメント間のトラフィックを分離した後に、それぞれにファイアウォールでセキュリティを適用してアプリケーションやデータを保護します。

ネットワーク・セグメンテーション(マイクロセグメンテーションとの違いに注意 )は、ネットワークの異なるセグメントをポリシーとして作成・維持できるため、パフォーマンス低下を招くことなくセキュリティを提供するソリューションとして推奨されています。しかし、複数のクラウドやデータセンターに分散した複雑なネットワークが普及している今日では、このようなアプローチはもはや意味をなさないかもしれません。

ネットワーク・セグメンテーションの課題

過度の信頼: ネットワークセグメンテーションは、ネットワーク内にいる全員が信頼できることを前提にしています。主に外部からの攻撃を防ぐために設計されているため、このアプローチに頼る組織は内部からの攻撃に対して脆弱になる可能性があります。

複雑さ: ネットワーク・セグメンテーションは、組織が運用する全てのネットワーク上で通信を行う全てのアセットについて熟知している前提を必要とします。次に、ビジネスとコンプライアンス上の必要性に応じて適切なゾーン設定を行う必要があります。そして、実際にVLANを導入する作業に取り掛からなければなりません。特に、ほとんどの組織が所有権を持たないマルチクラウド環境を利用しており、ネットワーク運用を支えているインフラを変更できないことが多いため、今日のネットワークアーキテクチャは複雑で、実装時にVLANを誤設定する可能性が高くなります。

管理: 最新のネットワーク環境では、アドレスが絶えず変更され、ユーザーはさまざまなネットワークを使用して複数のデバイスで接続し、新しいアプリケーションが絶えず導入されています。このようなダイナミックな環境では、ポリシーの定義、レビュー、変更、例外処理などを手作業で継続的に行うことは管理者にとって無理難題です。さらに、ポリシーを変更するたびにすべてのファイアウォールルールのアップグレードが必要となり、ネットワーク・セグメンテーションの性質上、脆弱性スキャンなど広く行われているセキュリティ活動にも追加リソースを割く必要があります。

コントロール: ネットワーク・セグメンテーションは、きめ細かなコントロールができないため、リモートワーカー、臨時従業員、パートナーなど、さまざまなレベルのアクセスをセグメント化することが複雑に作業になります。

スケーラビリティ: ネットワーク成長に対応する目的でネットワーク・セグメンテーションを行う場合、組織はより小さなセグメントを作成するか、既存のセグメントをアップグレードする必要があり、結果として拡張と維持にかかるコストが高くなります。

パフォーマンス: ネットワークに複数のファイアウォールを含むリソースを追加すると、全体のパフォーマンスに悪影響を及ぼします。

Multiple Network Security Perimeters

セグメント化するよりも良い方法

Zero Trust Network Access ( ZTNA ) は、Gartnerが ゼロトラストを前提に定義した枠組みで、どのデバイスも本質的には信頼できず、アクセスはポリシーで定義した権限に基づき付与されるという意味です。

ZTNAは、クラウドの世界でますます非現実的になりつつあるネットワーク中心のセキュリティアプローチではなく、ユーザーからアプリケーションへのアプローチをとっています。ネイティブアプリケーション・セグメンテーションを使用することで、ネットワークに接続することなくアプリケーションへのアクセスを可能となり、またひとたびユーザーとして認証されると、1対1ベースでアプリケーションアクセスが許可されるようにします。許可されたユーザーは、ネットワークへの完全アクセスではなく、特定のアプリケーションにのみアクセスできるため、よりきめ細かい制御が可能であり、横移動のリスクもありません。

ネットワーク・セグメンテーションに対するZTNAの優越性

  • ZTNAは、ネットワークにアクセスすることなく、アダプティブでIDを意識した高精度なアクセスを実現します。ネットワークロケーションに基づく特権をなくすことにより、過剰な黙認信頼を排除し、明確にアイデンティティに基づくの信頼に置き換えます。
  • ZTNAはネットワーク接続を必要としないため、内部アプリケーション(IPアドレス)がインターネットに露出することはなく、攻撃のリスクを低減します。

  • アクセスルールやファイアウォールルールを設定する代わりに、クラウド上で執行されるきめ細かいアクセスポリシーにより、ユーザーからアプリまでのセグメンテーションを実現します。
  • ZTNAはクラウドサービスとして提供されるほか、場合によってはオンプレミスソフトウェアに拡張することも可能です(サービスによる管理)。クラウドデリバリーにより、柔軟性、敏捷性、拡張性が向上し、内部のファイアウォールアプライアンスへの依存が減少します。

  • 企業はZTNAを利用して、管理されていないデバイスや外部パートナーがアプリケーションに安全にアクセスできるようにするとともに、ユーザーをネットワークから排除することでマルウェアが拡散する脅威を最小限に抑えています。

ガートナーのゼロトラストネットワークアクセスに関するマーケットガイド2020(英語)

ガイドを読む

ゼロトラストネットワークアクセスのネットワークアーキテクトガイド

ホワイトペーパーを読む(英語)

オンプレミス ZTNA

詳細はこちら

ネットワーク・セグメンテーションの課題と可能性

ブログを読む

ZTNAテクノロジーの解説と選び方

ブログを読む