ネットワークセグメンテーションとは何か？

ネットワークセグメンテーションとは何か？

ネットワークセグメンテーションとは、ネットワーク*をより小さな孤立したセクションに分割することです。これらのパーティションは、物理的なハードウェアまたはソフトウェアによって作成して保護することができますが、それぞれに実装上の課題があります。

ネットワークの異なるセグメントを分断することで、組織はラテラルムーブメントをより簡単に防ぐこと、ネットワークトラフィックのきめ細かい制御、およびネットワークパフォーマンスを向上させることができます。マイクロセグメンテーションと呼ばれる手法で、ワークロードやアプリケーションに対して個別にポリシーを設定することも可能です。

*ネットワークとは、互いに接続されたコンピュータのグループのことです。

ネットワークセグメンテーションの仕組み

ネットワークセグメンテーションでは、それぞれに異なる制御を適用できるようにネットワークを複数のセクションに分割します。これには通常、物理的セグメンテーションと論理的セグメンテーションの2つの方法のいずれかを使用します。

物理的セグメンテーション

物理的セグメンテーションでは、ルーター、スイッチ、ファイアウォールなどのハードウェア機器を使用して、ネットワークを個別のセクションに分離します。これらの機器では、特定の基準（トラフィックの送信元、送信先など）で設定可能なセグメンテーションポリシーを設定することで、各セクションに出入りできるトラフィックの種類を制御します。

物理的セグメンテーション（境界ベースのセグメンテーションとも呼ばれる）は、多くの場合設定と維持に費用と労力を要します。また、ほとんどの組織は、依然として物理的なネットワーク境界を維持しているという前提で運用されています。

しかし、クラウドコンピューティングの出現により、この境界線はほとんどなくなり、ユーザーはIT部門の管理下である社内ネットワークではなく、インターネット経由でデータやアプリケーションにアクセスできるようになりました。オンプレミスのインフラを使用している組織でも、多くの場合ユーザーが外部のデバイスやソフトウェアから社内のリソースに接続できるようにしています。

論理的セグメンテーション

論理セグメンテーション（仮想ネットワークセグメンテーション）では、ソフトウェアを使用してネットワークをより小さなセクションに分割します。これらのセグメントは、サブネット、仮想ローカルエリアネットワーク（VLAN）、ネットワークのアドレス指定スキームによって作成されます。

• サブネット：ネットワークをより小さなセグメントに分割し、ネットワークトラフィックが目的地に到達するために不要なルーターを通過することなく、より短い距離で移動できるようにします
• VLAN：1つの物理ネットワーク上のトラフィックを2つのネットワークに分割します。VLAN上ではネットワークトラフィックを異なる宛先にルーティングするために複数のルーターやインターネット接続を必要としません
• ネットワークのアドレス指定スキーム：ネットワークリソースを複数のレイヤ3サブネットに分割することで、ネットワークセグメントを作成します

物理的セグメンテーションと同様に、論理的セグメンテーションもセグメンテーションポリシーを使用して、各ネットワークセグメントへのトラフィックの出入りを制限します。

論理セグメンテーションは、複数のハードウェア機器を設定、保守、更新が不要なため、ネットワークの分離とセキュリティを実現する柔軟で拡張性がある費用対効果の高い方法であると広く考えられています。

ネットワークセグメンテーションの利点とは？

企業はネットワークセグメンテーションを適切に導入することで、より効率的にセキュリティ、パフォーマンス、コンプライアンスを向上させることが可能です。最も重要な利点には以下のようなものがあります：

• ラテラルムーブメントの削減：攻撃者がネットワークに侵入しても、ネットワークの特定のセグメントに侵入しただけであるため、ネットワーク全体を自由に移動することはできません。その結果、組織の攻撃対象領域を最小化することができます。
• 悪意のあるアクティビティへの対処：攻撃や不審なアクティビティを特定のエリア内に限定することで、ITチームは、ネットワークのその他の部分に影響を与えることなく、より効果的に検出し、修復することができます。
• パフォーマンスの向上：特定のトラフィックの種類をネットワークの特定エリアに制限することで、ネットワーク全体の混雑を緩和し、パフォーマンスを最適化することができます。
• コンプライアンスの確保：セグメンテーションにより、コンプライアンス基準の対象となるネットワークの領域を分離できるため、必要に応じて更新することが容易になります。

ネットワークセグメンテーション対マイクロセグメンテーション

ネットワークセグメンテーションは、ネットワークをより小さなセクションに分割し、それぞれに異なるセキュリティコントロールとポリシーを適用することができます。

これに対しマイクロセグメンテーションは、ネットワークセグメンテーションのサブセットであり、ワークロードごとに、さらにきめ細かい制御を適用することができます。（ワークロードとは、サーバー、仮想マシン、サーバーレス機能のような、一定量のメモリと演算リソースを使用するプログラムやアプリケーションのことです）。これは、どのユーザーやデバイスもデフォルトでは信頼されないZero Trust セキュリティモデルの一部です。

ネットワークセグメンテーションとマイクロセグメンテーションのセキュリティ上の利点をよりよく理解するために、ある王様が保護したい巨額の金と宝石を持っていると想像してみてください。この王様はすべての財宝を、金庫室ごとに特定の鍵が必要ないくつかの秘密の金庫室にしまいます（ネットワークセグメンテーション）。泥棒がその中の1つの金庫室の鍵を盗んだ場合、その金庫室の中にある財宝を盗むことはできるかもしれませんが、他の金庫室の鍵をさらに盗まない限り、他の金庫室にアクセスすることはできません。同様に、あるサブネットワークに侵入した攻撃者は、その中のデータを盗むことはできても、別のサブネットワークに自由に移動することはできません。

あるいは、王様は財宝を複数の金庫室に分散させるだけでなく、それらの部屋の中の鍵付きの箱に入れ、それぞれの箱がそれぞれの鍵でしか解錠できないようにすることもできます（マイクロセグメンテーション）。このようにすることで、泥棒が金庫室の一室の鍵を盗んだとしても、さらに鍵を調達しない限り、個々の宝箱の鍵を開けることはできません。同様に、マイクロセグメント化されたネットワークでは、たとえ攻撃者が1つのワークロードを侵害したとしても、追加のワークロードを侵害する（またはアクセスする）ことから防ぐことができます。

マイクロセグメンテーションが、どのようにZero Trustのセキュリティ体制の実現に役立つのか、詳細をご覧ください。