ネットワーク セグメンテーションとは ネットワーク セグメンテーションとは、ネットワークをそれぞれ固有のセキュリティ ポリシーとプロトコルを持つ複数のサブネットワークに分割し、水平移動の防止を図ることを指します。これはサイバー攻撃への対抗策として、ネットワークの攻撃対象領域を減らすために最も広く使用されている手段の一つです。

VLANとファイアウォールを超えたセグメンテーションについて

ネットワーク セグメンテーションとマイクロセグメンテーションの比較

説明を続ける前にネットワーク セグメンテーションとマイクロセグメンテーションの違いを明確にしましょう。

ネットワーク セグメンテーションは南北方向(外部ネットワークとの縦方向)のトラフィックに最も効果を発揮するものである一方で、マイクロセグメンテーションは東西方向(サーバー間、アプリからサーバー、Webからサーバーなどの横方向)のトラフィックにさらなる保護層を追加するためのものです。ネットワーク セグメンテーションを城の堀や外壁に例えるなら、マイクロ セグメンテーションは城内の各客間の入り口に立つ衛兵に例えることができます。

ネットワーク セグメンテーションを使用すべき理由

セグメンテーションは積極的な防御であり、事後対応型のセキュリティと比較して重要なメリットがあります。

事後対応型のセキュリティの場合、セキュリティ部門はまず侵害を調査し、その後にダメージ コントロールを行います。しかし、これは手間と費用がかさむだけでなく、データの損失やコンプライアンスの問題、企業のイメージの毀損など、さまざまな問題が発生する可能性があります。

世界中の組織が依然としてデータ侵害の被害に遭っている点は、看過できない事実です。Risk Based Securityによると、2021年に公になった4,145件の侵害を通じて、220億件以上の記録が流出しています。

このことから、攻撃されてから対応するのではなく、予防に重点を置き、潜在的なリスクや脆弱性について悪用される前に対処する必要があるということが明確になっています。そして、ネットワーク セグメンテーションは、その実践に向けた現在最も一般的な方法の一つなのです。

 

ネットワーク セグメンテーションの種類

従来、ネットワーク セグメンテーションには基本的に以下の2種類のものがありました。

  • 物理セグメンテーションでは、個別のファイアウォール、配線、スイッチ、およびインターネット接続を使用して、ネットワークの一部を分離します。これは、より高価でスケーラビリティーの低い種類のものです。
  • 仮想セグメンテーション(論理セグメンテーションとも呼ばれます)は、同じファイアウォールで保護できる、仮想ローカル エリア ネットワーク (VLAN)を使用してネットワーク トラフィック フローをセグメント化するものです。

Types of Network Segmentation

Traditionally, there have been two basic types of network segmentation:

  • Physical segmentation uses discrete firewalls, wiring, switches, and internet connections to separate parts of a computer network. This is the more expensive, less scalable type.
  • Virtual segmentation, also called logical segmentation, typically segments network traffic flows using virtual local area networks (VLANs), which can be protected by the same firewall.

ネットワーク セグメンテーションのユース ケース

では、ネットワーク セグメンテーションでは具体的にどのようなことが行われるのでしょうか。一言でいえば、お客様を支援するように設計されています。

  • 外部からの脅威の水平移動を阻止:境界内のネットワークの一部にセグメンテーションを行うと、境界が侵害されたとしても、すべてのデータが直ちに脅威にさらされることはありません。
  • 内部にある脅威の水平移動を阻止:例えば財務データには人事部がアクセスできないようにするなど、アクセスの必要性に応じて内部データにセグメンテーションを行う(部門ごとのセグメンテーションなど)ことで、内部脅威のリスクを軽減できます。
  • 内部ネットワークとゲスト ネットワークを分離:ゲストをネットワークの他の部分から分離したゲスト セグメント内に配置し続けることで、内部デバイスやデータを危険にさらすことなく、便利な接続を継続して提供することができます。
  • 規制対象のデータを保護し、コンプライアンスを徹底:支払いカード情報などの機密データをアクセスが厳しく制限されたセグメントに保存することで、侵害からデータを保護し、データ関連の規制へのコンプライアンスを順守できます。

 

ネットワーク セグメンテーションのメリット

使用するスキーマを問わず、セグメント化されたネットワークには、階層やサブネットのないフラットなネットワークに比べて、以下のような明確なメリットがあります。

  • 機密データに対するサイバーセキュリティの強化:このメリットには、侵害防止(南北方向の移動)、アクセス制御の強化、および各セグメントに対する個別のセキュリティ制御が含まれます。
  • 規制コンプライアンスの要件への対応の簡素化:特定のデータにアクセスできるユーザーとそのデータの流れを制限することで、PCI DSSやGDPRなどの業界および政府の規制に対するコンプライアンスの証明と監査が簡素化されます。
  • リスク分析とダメージ コントロールの簡素化:サイバー犯罪者がネットワーク全体を自由に移動できなければ、攻撃手法や組織のセキュリティ ポスチャーの弱点を特定することが容易になります。
  • エンドポイントとユーザーの保護:これは双方にメリットが出るもので、エンドユーザーとデバイスは、脅威がエンドポイントに広がりにくいセグメント化されたネットワークではより安全となり、セグメント自体も、エンドポイントに起因する脅威から守られます。
  • ネットワークの輻輳の軽減:一つのセグメントのアクティビティーによって、ネットワークの別の部分のアクティビティーが抑制されることはありません。小売店を例に挙げると、買い物客がゲストWi-Fiを使用していても、クレジットカードの決済処理が遅くなることはありません。

ネットワーク セグメンテーションのベスト プラクティス

効果的なネットワーク セグメンテーション モデルを実装、保守するための正しい方法の例として、ネットワーク セグメンテーションの5種類のベスト プラクティスを紹介します。

1. 過剰なセグメンテーションを避ける

初めてセグメンテーションを行う際、ネットワークを過度にセグメンテーションを実施する組織が多く見られます。この場合、ネットワーク全体の可視性が低下し、以前よりも管理が難しくなります。ただし、ネットワーク セグメンテーションが不十分にならないようにすることも重要です。セグメンテーションが不十分だと、攻撃対象領域が広いままとなり、セキュリティ ポスチャーが損なわれます。

2. 定期的な監査を実施する

ネットワーク セグメンテーションはネットワークのセキュリティを向上させる優れた方法ですが、脆弱性が排除されているか、アクセスの付与が厳重か、そしてアップデートがインストールされているかを継続的にチェックすることで初めて効果を発揮します。そして何より、セグメントの監査を通じ、悪用可能なギャップを保護範囲からなくし、ネットワークのリスクを軽減することで、苛烈な悪意のあるアクターに対して有利な立ち位置を維持できます。

3. 最小特権の原則に従う

最小特権アクセスは、アクセス管理全般を左右するものですが、ネットワーク セグメンテーションにおいてもその重要性は変わりません。最小特権の原則をすべてのネットワーク セグメントに適用することで、ユーザー、ネットワーク管理者、およびセキュリティ部門に対して、必要な場合にのみアクセスを許可することができます。最小特権アクセスがゼロトラスト ネットワーク アクセスの根本をなす理由は、まさにこの点にあります。

4. サードパーティーのアクセスを制限する

サードパーティーのユーザーにアクセスを付与することは、高いリスクを伴います。そのため、特にさまざまなネットワーク セグメントに対してアクセスを付与する場合は、必要な部分にのみアクセスを付与することが重要です。セグメンテーションによってネットワーク全体のリスクは軽減されますが、ネットワークのセキュリティ ポスチャーにどのような影響を及ぼすかを考慮せずに、サードパーティーにアクセスを与えることは推奨されません。

5. 可能な部分を自動化する

ネットワークをセグメント化すると、自動化を行える貴重な機会が数多く得られます。自動化には可視性の向上、平均修復時間(MTTR)の短縮、セキュリティの改善といった一般的なメリットがありますが、ネットワーク セグメンテーションを自動化すると、新しい資産やデータをすばやく識別して分類することができます。そして、これ自体がセグメンテーションのベスト プラクティスの一つでもあります。

 

ネットワーク セグメンテーションの欠点

複数のクラウドやデータ センターに分散された現在の複雑なネットワーク アーキテクチャーにおいて、従来のファイアウォールやVLANのセグメンテーション モデルに大きな弱点があるという点は軽視できません。

従来のファイアウォールには、水平移動を可能にするフラットなネットワークを構築してしまうという、セグメンテーションの利点を損なう重大な欠点があります。これを補うのは運用上大きな負担がかかるうえに複雑であるため、実現はほぼ不可能です。多くの追加機能がある次世代ファイアウォールも、アプリケーションへのアクセスのためにユーザーをネットワーク上に置くことには変わりはありません。また、VLANにも同じ弱点があります。

従来のアプローチでは、以下の課題への対処が必要になります。

  • 過剰な信頼:従来のファイアウォール ベースのセグメンテーションは外部からの攻撃を防ぐように構築されており、内部の脅威に対して脆弱性が残る可能性があります。
  • 設定ミス:現代のアーキテクチャーではVLANに設定ミスが生じる可能性が高く、特にサードパーティーのクラウド プロバイダーを使用していて、自分でインフラストラクチャーを変更できない場合には注意が必要です。
  • 管理の作業負荷の高さ:新しいアプリやデバイスを使用したり変更を適用する場合には、その都度ファイアウォール ルールを更新することになり、脆弱性スキャンなどの日常的な作業についてもより多くのリソースが必要になります。
  • 制御の複雑さ:従来の方法はきめ細かな制御に欠けているため、リモート ワーカーやパートナー、顧客などのセグメンテーション ポリシーを定義するのが複雑になります。
  • スケーラビリティーの問題:ネットワークの拡大に対処するには、より小さなセグメントを作成するか、既存のセグメントをアップグレードする必要があるため、拡張と保守のコストが高くなります。
  • パフォーマンスの低下:ファイアウォールやルーターなどのネットワーク デバイスを追加すると、ネットワーク全体のパフォーマンスへの悪影響が増大します。

セグメンテーションに向けた優れた方法であるZTNA

クラウドのスケーラビリティー、柔軟性、および対象範囲への依存度が高まるにつれ、従来のセグメンテーションなどの純粋なネットワーク セキュリティ戦略の多くは、現実的ではなくなってきています。今求められているのは、あらゆるリスクと複雑性が伴う内部ネットワークという要素を排除したモデルです。

ゼロトラスト ネットワーク アクセス(ZTNA)は、どのユーザーやデバイスも基本的には信頼できないという概念に基づくフレームワークを軸とした、新しいアプローチとして登場しました。このアプローチでは、アイデンティティーをはじめ、デバイス、場所、アプリケーション、コンテンツなどのコンテキストに基づき、最小特権の原則に則ってアクセス ポリシーが構築されます。

ZTNAでは、ユーザーを1対1でアプリケーションに直接接続し、決してネットワークには接続しないため、水平移動が防止されます。これにより、従来のVPNやファイアウォールでは不可能だった、根本的に異なる効果的なセグメンテーションを実現できます。

 

ZTNAが従来のセグメンテーションより優れている理由

従来のセグメンテーションと比較して、ZTNAは以下の点において優れています。

  • 適応型かつアイデンティティー認識型で、精度の高いアクセスを、ネットワーク アクセスなしで実現します。これにより、暗黙の信頼を排除し、明確なアイデンティティーベースの信頼に置き換えます。
  • ネットワーク接続を必要としないため、内部アプリケーション(IPアドレス)がインターネットに露出されることはなく、攻撃対象領域とリスクが軽減されます。
  • ユーザーとアプリ間のレベルのセグメンテーションを、クラウドで適用されるきめ細かいアクセス ポリシーを通じて提供します。アクセス ポリシーとファイアウォール ルールを設定する必要はありません。
  • 柔軟性、俊敏性、スケーラビリティーが向上し、内部ファイアウォールの必要性が減少します。ZTNAは、クラウド サービスまたはオンプレミスの管理対象のソフトウェアとして提供できます。
  • 安全なアプリケーション アクセスを、非管理対象のデバイスや外部パートナーにも提供します。その際ユーザーにはネットワークにアクセスさせず、マルウェア拡散のリスクを最小限に抑えます。

Zscalerとネットワーク セグメンテーション

Zscaler Private Access™は、世界トップクラスの導入件数を誇るZTNAプラットフォームです。最小特権の原則を適用することで、ユーザーをネットワーク上に配置せずに、プライベート アプリケーションへの安全な直接接続を実現します。

計画段階である場合でも、古くなった従来のセグメンテーション モデルを運用している場合でも、当社はZTNAを通じて成熟したセグメンテーションの実現をサポートします。導入の始め方は以下の通りです。

  1. 既存のVPNとファイアウォールをZscaler Private Accessに置き換え、攻撃対象領域を減らしてユーザーとアプリ間のセグメンテーションにより水平移動を排除します。
  2. アプリ間のセグメンテーションを実装して、ハイブリッド/マルチクラウド環境(クラウド間)のクラウド ワークロードとアプリケーションにZTNAを導入します。
  3. 最後に、クラウド内(東西)の通信に、プロセス間/アイデンティティーベースのマイクロセグメンテーションを実装します。

詳細はZscaler Private Accessのページをご覧ください。

おすすめのリソース

よくある質問

What Is Network Segmentation?

Network segmentation divides a network into subnetworks with specific security policies and protocols, helping to prevent lateral movement and reduce the network's attack surface to combat cyberattacks.

What Is a Network Segment?

A network segment (less commonly called a security zone) is an isolated or separated part of a network. Segments can have their own security policies, access control lists (ACLs), and protocols, providing more granular control and protection.

What Is a Good Reason to Segment a Network?

One of the primary reasons to segment a network is to limit the potential scope of a security breach. Network segments keep threats isolated, preventing lateral movement and minimizing the attack surface.

What Is a Collision Domain?

A collision domain is a network segment where multiple devices share one data pathway. When two or more devices try to use the pathway simultaneously, the resulting “collisions” can slow down the network, and typically require dedicated management to avoid.