詳細はZscaler Private Accessのページをご覧ください。
説明を続ける前にネットワーク セグメンテーションとマイクロセグメンテーションの違いを明確にしましょう。
ネットワーク セグメンテーションは南北方向(外部ネットワークとの縦方向)のトラフィックに最も効果を発揮するものである一方で、マイクロセグメンテーションは東西方向(サーバー間、アプリからサーバー、Webからサーバーなどの横方向)のトラフィックにさらなる保護層を追加するためのものです。ネットワーク セグメンテーションを城の堀や外壁に例えるなら、マイクロ セグメンテーションは城内の各客間の入り口に立つ衛兵に例えることができます。
セグメンテーションは積極的な防御であり、事後対応型のセキュリティと比較して重要なメリットがあります。
事後対応型のセキュリティの場合、セキュリティ部門はまず侵害を調査し、その後にダメージ コントロールを行います。しかし、これは手間と費用がかさむだけでなく、データの損失やコンプライアンスの問題、企業のイメージの毀損など、さまざまな問題が発生する可能性があります。
世界中の組織が依然としてデータ侵害の被害に遭っている点は、看過できない事実です。Risk Based Securityによると、2021年に公になった4,145件の侵害を通じて、220億件以上の記録が流出しています。
このことから、攻撃されてから対応するのではなく、予防に重点を置き、潜在的なリスクや脆弱性について悪用される前に対処する必要があるということが明確になっています。そして、ネットワーク セグメンテーションは、その実践に向けた現在最も一般的な方法の一つなのです。
従来、ネットワーク セグメンテーションには基本的に以下の2種類のものがありました。
では、ネットワーク セグメンテーションでは具体的にどのようなことが行われるのでしょうか。一言でいえば、お客様を支援するように設計されています。
使用するスキーマを問わず、セグメント化されたネットワークには、階層やサブネットのないフラットなネットワークに比べて、以下のような明確なメリットがあります。
効果的なネットワーク セグメンテーション モデルを実装、保守するための正しい方法の例として、ネットワーク セグメンテーションの5種類のベスト プラクティスを紹介します。
初めてセグメンテーションを行う際、ネットワークを過度にセグメンテーションを実施する組織が多く見られます。この場合、ネットワーク全体の可視性が低下し、以前よりも管理が難しくなります。ただし、ネットワーク セグメンテーションが不十分にならないようにすることも重要です。セグメンテーションが不十分だと、攻撃対象領域が広いままとなり、セキュリティ ポスチャーが損なわれます。
ネットワーク セグメンテーションはネットワークのセキュリティを向上させる優れた方法ですが、脆弱性が排除されているか、アクセスの付与が厳重か、そしてアップデートがインストールされているかを継続的にチェックすることで初めて効果を発揮します。そして何より、セグメントの監査を通じ、悪用可能なギャップを保護範囲からなくし、ネットワークのリスクを軽減することで、苛烈な悪意のあるアクターに対して有利な立ち位置を維持できます。
最小特権アクセスは、アクセス管理全般を左右するものですが、ネットワーク セグメンテーションにおいてもその重要性は変わりません。最小特権の原則をすべてのネットワーク セグメントに適用することで、ユーザー、ネットワーク管理者、およびセキュリティ部門に対して、必要な場合にのみアクセスを許可することができます。最小特権アクセスがゼロトラスト ネットワーク アクセスの根本をなす理由は、まさにこの点にあります。
サードパーティーのユーザーにアクセスを付与することは、高いリスクを伴います。そのため、特にさまざまなネットワーク セグメントに対してアクセスを付与する場合は、必要な部分にのみアクセスを付与することが重要です。セグメンテーションによってネットワーク全体のリスクは軽減されますが、ネットワークのセキュリティー ポスチャーにどのような影響を及ぼすかを考慮せずに、サードパーティーにアクセスを与えることは推奨されません。
ネットワークをセグメント化すると、自動化を行える貴重な機会が数多く得られます。自動化には可視性の向上、平均修復時間(MTTR)の短縮、セキュリティーの改善といった一般的なメリットがありますが、ネットワーク セグメンテーションを自動化すると、新しい資産やデータをすばやく識別して分類することができます。そして、これ自体がセグメンテーションのベスト プラクティスの一つでもあります。
複数のクラウドやデータ センターに分散された現在の複雑なネットワーク アーキテクチャーにおいて、従来のファイアウォールやVLANのセグメンテーション モデルに大きな弱点があるという点は軽視できません。
従来のファイアウォールには、水平移動を可能にするフラットなネットワークを構築してしまうという、セグメンテーションの利点を損なう重大な欠点があります。これを補うのは運用上大きな負担がかかるうえに複雑であるため、実現はほぼ不可能です。多くの追加機能がある次世代ファイアウォールも、アプリケーションへのアクセスのためにユーザーをネットワーク上に置くことには変わりはありません。また、VLANにも同じ弱点があります。
従来のアプローチでは、以下の課題への対処が必要になります。
クラウドのスケーラビリティー、柔軟性、および対象範囲への依存度が高まるにつれ、従来のセグメンテーションなどの純粋なネットワーク セキュリティー戦略の多くは、現実的ではなくなってきています。今求められているのは、あらゆるリスクと複雑性が伴う内部ネットワークという要素を排除したモデルです。
ゼロトラスト ネットワーク アクセス(ZTNA)は、どのユーザーやデバイスも基本的には信頼できないという概念に基づくフレームワークを軸とした、新しいアプローチとして登場しました。このアプローチでは、アイデンティティーをはじめ、デバイス、場所、アプリケーション、コンテンツなどのコンテキストに基づき、最小特権の原則に則ってアクセス ポリシーが構築されます。
ZTNAでは、ユーザーを1対1でアプリケーションに直接接続し、決してネットワークには接続しないため、水平移動が防止されます。これにより、従来のVPNやファイアウォールでは不可能だった、根本的に異なる効果的なセグメンテーションを実現できます。
従来のセグメンテーションと比較して、ZTNAは以下の点において優れています。
Zscaler Private Access™は、世界トップクラスの導入件数を誇るZTNAプラットフォームです。最小特権の原則を適用することで、ユーザーをネットワーク上に配置せずに、プライベート アプリケーションへの安全な直接接続を実現します。
計画段階である場合でも、古くなった従来のセグメンテーション モデルを運用している場合でも、当社はZTNAを通じて成熟したセグメンテーションの実現をサポートします。導入の始め方は以下の通りです。
詳細はZscaler Private Accessのページをご覧ください。
Gartner Market Guide for Zero Trust Network Access 2022
ガイドを読むネットワーク アーキテクト向けのZTNA採用ガイド
ホワイト ペーパーを読むZTNA On-Premisesがもたらすメリット
詳細はこちらZTNAテクノロジーの解説と選び方
ブログを読む(英語)