マイクロセグメンテーションとは、ネットワークをアプリケーション層で分割することで、セキュリティを高め、侵入された際の影響を軽減する技術です。
この記事を読み終えると、以下のことができるようになります。
関連コンテンツ
是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!
記事のリンクをコピーする
マイクロセグメンテーションとは、ネットワークを小さな個別のセクションに分割し、それぞれのセクションが独自のセキュリティポリシーを持ち、個別にアクセスできるようにするものです。マイクロセグメンテーションの目的は、ネットワークの他の部分に影響を与えることなく、脅威と侵害をそのセグメントに閉じ込めることによってネットワークセキュリティを向上させることです。
大型船の場合、甲板の下は水密性の高いコンパートメントに分かれていることが多く、それぞれのコンパートメントを密閉することができます。これにより、たとえ1つの区画が水漏れしても、他の区画は濡れることなく、船は浮くことができるのです。ネットワークのマイクロセグメンテーションの概念もこれと同様で、ネットワークの1つのセグメントの安全性が損なわれても、他のネットワークから簡単に封鎖することができます。
マイクロセグメンテーションは、Zero Trustアーキテクチャの重要な構成要素です。このようなアーキテクチャでは、ネットワークに出入りする、あるいはネットワーク内のあらゆるトラフィックが脅威となる可能性があると想定されます。マイクロセグメンテーションは、それらの脅威が広がる前に隔離することを可能にし、横方向の動きを防ぐことができます。
企業は、オンプレミスのデータセンターとクラウドコンピューティングの両方をマイクロセグメント化し、ワークロードが実行されるあらゆる場所で展開することができます。サーバー、仮想マシン、コンテナ、マイクロサービスはすべてこの方法でセグメント化でき、それぞれ独自のセキュリティポリシーを持つことができます。
マイクロセグメンテーションは、ネットワークの極めて細かいレベルで行うことができ、(アプリケーション、デバイス、ネットワークの分離ではなく)個々のワークロードの分離まで行うことができます。「ワークロード」は、ある量のメモリとCPUを使用するあらゆるプログラムまたはアプリケーションを指します。
ネットワークをマイクロセグメンテーションするためのテクニックは、少しずつ異なります。しかし、ほとんどの場合、いくつかの重要な原則が適用されます。
マイクロセグメンテーションソリューションは、ネットワーク上でトラフィックを送信しているアプリケーションを認識します。マイクロセグメンテーションは、どのアプリケーションが互いに通信し、ネットワークトラフィックがそれらの間でどのように流れているかを示すコンテキストを提供します。これは、マイクロセグメンテーションが、仮想ローカルエリアネットワーク(VLAN)や他のネットワーク層の手法を用いたネットワークの分割とは異なる点の1つです。
マイクロセグメンテーションは、ソフトウェアで設定します。セグメンテーションは仮想的なものなので、管理者はルーターやスイッチなどのネットワーク機器を調整して実装する必要はありません。
ほとんどのマイクロセグメンテーションソリューションは、次世代ファイアウォール(NGFW)を使用して、セグメントを分離しています。NGFWは、従来のファイアウォールとは異なり、アプリケーション認識機能を備えているため、ネットワーク層やトランスポート層だけでなく、アプリケーション層でネットワークトラフィックを分析することが可能です。
さらに、クラウドベースのファイアウォールは、クラウドコンピューティングの配備をマイクロセグメント化するために使用される場合があります。クラウドホスティングプロバイダーの中には、内蔵のファイアウォールサービスを利用して、この機能を提供しているところもあります。
管理者は、必要に応じて、ワークロードごとにセキュリティポリシーをカスタマイズできます。あるワークロードでは幅広いアクセスを許可し、別のワークロードでは、そのワークロードの重要性と処理するデータに応じて、高度な制限をかけることができます。あるワークロードは、APIクエリをある範囲のエンドポイントから受け付けることができ、別のワークロードは特定のサーバーとのみ通信することができます。
一般的なネットワークロギングは、ポートやIPアドレスなどのネットワーク層とトランスポート層の情報を提供します。また、マイクロセグメンテーションは、アプリケーションとワークロードのコンテキストを提供します。すべてのネットワークトラフィックを監視し、アプリケーションコンテキストを追加することで、企業はネットワーク全体で一貫してセグメンテーションとセキュリティポリシーを適用することができます。また、必要に応じてセキュリティポリシーを微調整するために必要な情報も提供されます。
マイクロセグメンテーションは、ネットワーク全体に脅威が広がるのを防ぎ、サイバー攻撃による被害を限定的にすることができます。攻撃者のアクセスは制限され、機密データまで到達できない可能性があります。
例えば、マイクロセグメント化されたデータセンターでワークロードが実行されているネットワークには、数十の独立したセキュアゾーンが含まれている場合があります。あるゾーンにアクセスできるユーザーは、他の各ゾーンに対して個別の認証が必要です。これにより、権限の拡大(ユーザーが過剰にアクセスした場合)のリスクを最小限に抑え、内部脅威(ユーザーが故意または無意識のうちに機密データのセキュリティを侵害した場合)のリスクを最小限に抑えることができます。
別の例として、あるコンテナに脆弱性があるとします。攻撃者は、悪意のあるコードを介してこの脆弱性を悪用し、コンテナ内のデータを改ざんすることが可能になります。周辺部だけで保護されたネットワークでは、攻撃者はネットワークの他の部分に横方向に移動し、権限を拡大し、最終的に非常に価値の高いデータを抽出または改ざんすることが可能です。マイクロセグメント化されたネットワークでは、攻撃者は別の侵入口を見つけなければ、そうすることができない可能性が高くなります。
「Zero Trust」は、安全な環境の内外に脅威がすでに存在していることを前提とした、ネットワークセキュリティの理念とアプローチです。多くの企業は、攻撃を防ぐと同時に、攻撃が成功した場合の被害を最小限に抑えるために、Zero Trustアーキテクチャを採用しています。
マイクロセグメンテーションはZero Trust戦略の重要な構成要素ですが、それだけではありません。その他のZero Trustの原則は以下の通りです。
Cloudflareがこれらの構成要素の実装をどのように支援するかについては、Cloudflare Zero Trustプラットフォームをご覧ください。
利用開始
アクセス管理について
ゼロトラストについて
VPNリソース
用語集