Written by WizLANSCOPE編集部
目 次
マイクロセグメンテーションとは、ネットワークを細かな単位に分割し、そのセグメントごとに個別のセキュリティポリシーを適用することで、内部通信を厳密に制御する手法です。
この仕組みにより、万一攻撃者が内部ネットワーク侵入してしまった後でも、セグメント間の不要な通信を遮断し、脅威の横展開「ラテラルムーブメント」を防止できます。
本記事では、「マイクロセグメンテーション」をテーマに、基本的な概念や仕組み、メリット、そして導入を検討する際の注意点までをわかりやすく解説します。
▼本記事でわかること
- マイクロセグメンテーションの概要
- マイクロセグメンテーションの重要性
- マイクロセグメンテーションのメリット・デメリット
- マイクロセグメンテーションの活用例
「マイクロセグメンテーションとは何か」を知り、セキュリティの強化に役立てたい方はぜひご一読ください。
マイクロセグメンテーションとは
マイクロセグメンテーションとは、データセンターやクラウド環境に存在するネットワークを、サーバーや仮想マシンなどのワークロード単位で細かく分割し、各セグメントに個別のセキュリティポリシーを適用する手法です。
従来のネットワークセキュリティでは、外部からの侵入を防ぐ「境界型防御」が中心でした。
しかしマイクロセグメンテーションでは、外部だけでなく、ネットワーク内部を小さな部屋(セグメント)に区切り、それぞれの部屋の出入り口も厳しく管理するセキュリティ手法です。
この仕組みにより、万一攻撃者がどこか一つの部屋(ワークロード)に侵入したとしても、横方向への被害の展開(ラテラルムーブメント)を防ぎ、他の部屋への被害を最小限に抑えることができます。
ゼロトラスト実現の鍵となる考え方
マイクロセグメンテーションは、「すべてのユーザーやデバイス、通信を信頼しない」という「ゼロトラストセキュリティモデル」を実現する上で、重要な技術要素です。
ゼロトラストは、社内ネットワークからのアクセスであっても無条件に信頼せず、すべての通信を検査・認証し、必要最小限の権限のみを付与することを基本理念としています。
マイクロセグメンテーションは、サーバーや仮想マシンなどのワークロードごとにアクセス制御を行い、許可された通信以外をすべて遮断することで、まさにこのゼロトラストの考えを具現化します。
マイクロセグメンテーションの活用で「最小権限の原則」が徹底されることで、セキュリティレベルを大幅に向上させることができます。
マイクロセグメンテーションの重要性
マイクロセグメンテーションが重要視される背景に、「巧妙化するランサムウェアの脅威」「従来の境界型セキュリティの限界」が挙げられます。
詳しく確認していきましょう。
巧妙化するランサムウェアの脅威
ランサムウェア攻撃とは、重要なデータを暗号化したり、PCをロックしたりして使用不能にし、その解除の条件として身代金を要求するマルウェアです。
このランサムウェア攻撃が近年では高度化しており、単にデータを暗号化するだけでなく、ネットワーク内部で感染を拡大させ、事業継続を脅かす深刻な被害をもたらすケースが増えています。
攻撃者は一度システムに侵入すると、内部ネットワークを偵察し、機密情報を扱うサーバーなど、より重要なシステムへの侵入を試みます。
このように、ネットワーク内を横断的に移動しながら攻撃範囲を広げていく手法を「ラテラルムーブメント」と呼びます。
こうしたネットワーク内部での被害拡大を防ぐ手段として有効なのが、マイクロセグメンテーションです。
ワークロード間の通信を厳密に制御・分離することで、仮に一台のサーバーが感染したとしても、他のサーバーやシステムへの感染拡大を防ぐことができます。
関連ページ
従来の境界型セキュリティの限界
クラウドサービスの利用拡大やテレワークの普及により、企業のネットワークはオンプレミスとクラウドが混在する複雑なハイブリッド環境へと変化しています。
その結果、従来は明確だったネットワークの「境界」が曖昧になり、ファイアウォールなどでネットワークの出入り口を一元的に監視する従来の境界型セキュリティだけでは、内部侵入を完全に防ぐことが困難になっています。
一方マイクロセグメンテーションは、ワークロード自体を保護対象とするため、物理的な設置場所やネットワーク構成に依存せず、あらゆる環境で同じレベルのセキュリティを適用できます。
この特性により、複雑なハイブリッドクラウド環境全体に対して、一貫したセキュリティポリシーを適用できるとして、注目と重要性が高まっています。
マイクロセグメンテーションの仕組み
マイクロセグメンテーションは、どのような仕組みで実現されているのでしょうか。
本記事では、その中核となる3つの技術的な特徴について解説します。
- ホスト単位で論理的な境界を構築する
- ソフトウェアベースで柔軟に制御できる
- すべての通信経路を可視化する
詳しく解説します。
ホスト単位で論理的な境界を構築する
マイクロセグメンテーションは、物理的なネットワーク機器ではなく、サーバーや仮想マシンといった各ホストに導入されたエージェントソフトウェアを用いて、論理的なセキュリティ境界を構築します。
エージェントは、ホストOSが備える標準機能(ファイアウォールなど)を制御し、ワークロードごと、アプリケーションごとに通信をきめ細かく制御します。
これにより、ネットワークの物理構成に依存せず、ホストごとに独立したセキュリティポリシーが適用できます。
ソフトウェアベースで柔軟に制御できる
マイクロセグメンテーションは、物理的なネットワーク機器の設定変更を必要としない、ソフトウェアベースの制御方式であるため、環境の変化に迅速かつ柔軟に対応できる点が大きな特徴です。
例えば、新しいサーバーやアプリケーションを追加する場合も、ネットワーク機器側の設定を変更する必要はありません。
あらかじめ定義されたポリシーを、対象のワークロードに適用するだけで、同じセキュリティレベルを確保できます。
さらに、ポリシーはIPアドレスではなく、「役割」や「環境」「アプリケーション」などの属性に基づいて管理できます。
これにより、構成変更の影響を最小限に抑え、運用も直感的かつ効率的に行えます。
すべての通信経路を可視化する
マイクロセグメンテーションを実現するソリューションの多くは、ネットワーク内のすべての通信を監視し、可視化する機能が備わっています。
これにより、「どのワークロードが」「どのワークロードと」「どのような通信を行っているか」を正確に把握することができます。
さらに、この可視化された情報をもとに適切なセキュリティポリシーを設計することで、不要な通信を遮断し、必要な通信のみを許可するという「ゼロトラストの原則」を実践しやすくなります。
結果として、ワークロード間の通信を最適化しながら、内部における脅威拡大を効果的に防止できます。
マイクロセグメンテーションと従来手法との違い
マイクロセグメンテーションと他のセキュリティ手法との違いを解説します。
- ネットワークセグメンテーション
- ファイアウォール
- EDR
高度化・巧妙化するサイバー脅威に対抗するには、単一のセキュリティ手法だけでなく、複数のセキュリティ手法を組み合わせることが効果的です。
まずは、それぞれのセキュリティ手法の役割と特徴について理解を深め、自社環境に最適な手法の導入を検討しましょう。
ネットワークセグメンテーションとの違い
ネットワークセグメンテーションは、VLANなどの技術を用いて、ネットワークを複数の大きなセグメントに分割する手法です。
これは、ネットワーク全体を大まかな単位で区切り、セグメント間の通信を制御することで、不正アクセスを防ぐ仕組みです。
一方でマイクロセグメンテーションは、ワークロード単位という、より細かな粒度でネットワークを分割する仕組みです。
サーバー、アプリケーションといった単位で独立したセキュリティポリシーを適用できるため、従来のネットワークセグメンテーションのよりも、細かな制御が可能になります。
その結果、同じネットワークセグメント内に存在しているサーバー間の不正な通信もブロックでき、内部での脅威拡大を防げます。
ファイアウォールとの違い
ファイアウォールとは、主にネットワークの境界に設置され、外部との通信を監視・制御するセキュリティシステムです。
外部からの不正アクセスを遮断し、内部ネットワークを守る役割を担います。
一方でマイクロセグメンテーションは、ネットワークの内部に焦点を当て、サーバー間やアプリケーション間の水平方向の通信を制御します。
これにより、攻撃者が内部に侵入した後の横展開(ラテラルムーブメント)を防ぎ、被害の拡大を抑えることが可能です。
EDRとの違い
EDR(Endpoint Detection and Response)とは、PCやスマートフォン、サーバーなどのエンドポイント上で発生する不審な挙動やインシデントの兆候をリアルタイムで検知し、迅速に対応することを目的としたセキュリティソリューションです。
主に「検知」と「対応」を中心としたソリューションで、マルウェアの分析や隔離などの機能を提供します。
対してマイクロセグメンテーションは、あらかじめ定義されたポリシーに基づいて不要な通信をブロックする「防御」の仕組みです。
ネットワーク内部での脅威の横展開を防ぎ、被害の拡大を未然に防ぎます。
EDRとマイクロセグメンテーションは役割が異なりますが、組み合わせることで、「予防」+「検知・対応」という多層的な防御を構築でき、より強固なセキュリティ体制が構築できます。
手法別の特徴比較表
マイクロセグメンテーションとその他の手法について、4つの軸で整理します。
| マイクロセグメンテーション | ネットワークセグメンテーション | ファイアウォール | EDR | |
|---|---|---|---|---|
| 役割・目的 | ・内部の横移動防止 ・内部被害の最小化 |
・ネットワーク全体を複数の小さなセグメントに分割した通信制御 | ・外部ネットワークからの不正侵入防御 | ・エンドポイント上の不審行動の検知・対応 |
| 防御の対象 | ・ワークロード ・アプリケーション |
・ネットワークセグメント | ・ネットワークの境界 | ・PC、スマートフォンなどのエンドポイント |
| 制御の粒度 | ・非常に細かい | ・粗い | ・中程度 | (検知が中心) |
| 適用範囲 | ・ハイブリッドクラウド ・データセンター |
・主にオンプレミス環境 | ・ネットワークの出入り口 | ・エンドポイント全般 |
マイクロセグメンテーションのメリット
マイクロセグメンテーションを導入することで、以下のようなメリットが期待できます。
- 攻撃対象領域(アタックサーフェス)を縮小できる
- 脅威の横展開(ラテラルムーブメント)を阻止できる
- ネットワークを詳細に監視・可視化できる
- 複数環境で一貫したポリシーを適用できる
詳しく見ていきましょう。
攻撃対象領域(アタックサーフェス)を縮小できる
マイクロセグメンテーションは、ワークロード間の不要な通信経路を遮断することで、攻撃者が侵入後に探索・悪用する範囲を限定できます。
これにより、システム全体の攻撃対象領域(アタックサーフェス)が縮小し、セキュリティ侵害のリスクそのものを低減させることができます。
脅威の横展開(ラテラルムーブメント)を阻止できる
マイクロセグメンテーションの最大のメリットは、ランサムウェアなどの脅威がネットワーク内部で拡散するのを防げる点です。
万が一、一つのワークロードが侵害されたとしても、被害をそのセグメント内に封じ込め、被害の横展開を防ぎます。
そのため、事業継続性を高め、被害からの復旧時間とコストの大幅な削減が期待できます。
ネットワークを詳細に監視・可視化できる
ネットワーク内のトラフィックを詳細に可視化できるため、異常な通信を早期に検知しやすくなるメリットもあります。
また、アプリケーション間の依存関係も明確になるため、セキュリティポリシーの最適化だけでなく、システム全体の運用効率向上にも貢献します。
複数環境で一貫したポリシーを適用できる
マイクロセグメンテーションでは、オンプレミスのデータセンター、プライベートクラウド、パブリッククラウドなど、異なる環境が混在していても、設置場所を問わずに一貫性のあるセキュリティポリシーを適用できます。
これにより、ハイブリッドクラウド環境におけるセキュリティ管理の複雑さが軽減され、運用負荷を下げることができます。
マイクロセグメンテーションのデメリットと注意点
マイクロセグメンテーションには注意すべきデメリット・注意点もあります。
- ポリシーの設計・運用が複雑になる
- 導入・運用に専門的な知識が必要になる
導入を検討している企業・組織の方は、あらかじめ確認するようにしましょう。
ポリシーの設計・運用が複雑になる
マイクロセグメンテーションでは、ネットワークを細かく分割し、それぞれにポリシーを設定するため、初期のポリシー設計が非常に重要かつ複雑になります。
アプリケーションの通信要件を正確に把握し、ビジネスの要件とセキュリティの要件を両立させるポリシーを定義するには、相応の工数が必要です。
導入・運用に専門的な知識が必要になる
適切なポリシーを設計し、継続的に運用していくためには、ネットワーク、セキュリティ、そしてアプリケーションに関する高度な専門知識が求められます。
誤ったポリシー設定は、正常な業務通信を妨げたり、セキュリティホールを生み出したりする可能性があるため、専門知識を持つ人材の確保や、信頼できるパートナーとの協業が重要です。
マイクロセグメンテーションの活用例
マイクロセグメンテーションは、具体的にどのような場面で効果を発揮するのでしょうか。
本記事では、代表的な3つの活用例を紹介します。
- 仮想デスクトップ(VDI)環境の保護
- クラウド環境への安全な移行
- 開発環境と本番環境の分離
詳しく確認していきましょう。
仮想デスクトップ(VDI)環境の保護
仮想デスクトップ(VDI)環境では、多数の仮想デスクトップが同じネットワーク基盤上で稼働するため、一台がマルウェアに感染してしまうと、他のデスクトップへ一気に感染が広がるリスクがあります。
そこで、マイクロセグメンテーションを適用し、仮想デスクトップ間の通信を原則禁止とすることで、感染拡大リスクを効果的に低減できます。
クラウド環境への安全な移行
オンプレミスからクラウドへシステムを移行する際、クラウド環境のセキュリティ設定は大きな課題となります。
そこでマイクロセグメンテーションを活用すれば、クラウド上の仮想サーバー単位で厳密なアクセス制御を適用できます。
オンプレミスと同等、あるいはそれ以上のセキュリティレベルを確保しながらの安全な移行が可能になるでしょう。
開発環境と本番環境の分離
重要な顧客データを扱う本番環境と、頻繁に変更が加えられる開発環境を論理的にかつ厳密に分離することは、情報漏洩や操作ミスを防ぐ上で欠かせない対策です。
マイクロセグメンテーションを使えば、両環境間の通信を必要最小限に制限できるため、開発者が誤って本番データにアクセスしてしまうといったリスクを根本から排除できます。
これにより、本番環境の安全性を高めつつ、開発環境の自由度も維持することができるでしょう。
マイクロセグメンテーションと組み合わせたいセキュリティ対策
ここまで確認してきた通り、サイバー脅威が高度化・巧妙化する現代において、従来の境界型セキュリティでは、十分な防御が困難になっています。
一度侵入を許してしまうと、攻撃者はネットワーク内部で横方向に展開し、重要なシステムやサーバーへの侵入を試みます。
そのため、万が一内部侵入を許しても、感染拡大を防ぐ仕組みとして、本記事のテーマである「マイクロセグメンテーション」が効果を発揮します。
マイクロセグメンテーションは、ワークロード間の通信を厳密に制御し、万一侵入を許した場合でも被害を最小化できる、侵入を前提とした考えに基づくセキュリティ手法です。
しかし、ネットワーク内部の防御だけでは、未知の脅威に対して十分な防御を行うことはできません。
そこで重要となるのが、PCやスマートフォン、サーバーなどのエンドポイント側の対策です。
EDRやAIを活用したアンチウイルスと組み合わせることで、デバイス単位での不正な挙動の検知や迅速な隔離が可能になり、より強固な多層防御が可能となります。
年々高度化が見られるサイバー脅威に対抗するためには、ネットワークレベルでの防御「マイクロセグメンテーション」と、デバイスレベルでの制御「EDR・アンチウイルス」を組み合わせた総合的なセキュリティ対策が推奨されます。
マイクロセグメンテーションと組み合わせたい「LANSCOPE サイバープロテクション」
ネットワーク侵入後、横展開を繰り返しながら移動するサイバー攻撃には、侵入時・侵入後のそれぞれで、不審な挙動を検出し、対処できる環境を整備する必要があります。
PC・スマートフォン、サーバーなどのエンドポイント保護には、マイクロセグメンテーションに加えて、アンチウイルス・EDRをセットで導入し、両者が検知できない領域を補完し合うことが有効です。
しかし実際には「EDRを使った監視業務に手が回らない」「脅威検出のアラートが多すぎて、対応しきれない」という声も多く、アンチウイルスとEDRの併用が実現していない企業様も少なくありません。
- アンチウイルスとEDRを併用したい
- なるべく安価に両機能を導入したい
- しかし運用面に不安がある
そういった方におすすめしたいのが、アンチウイルスを中心に3つのサービスを提供するLANSCOPEサイバープロテクションの「Auroraシリーズ」です。
「Auroraシリーズ」では、下記3つのプロダクト・サービスをお客様の予算や希望条件に応じて提供します。
- 最新のアンチウイルス「Aurora Protect」
- EDR「Aurora Focus」
- EDRを活用した監視サービス「Aurora Managed Endpoint Defense」
高精度なアンチウイルス・EDRを併用できるだけでなく、セキュリティのプロが24時間365日監視を行うため(MDRサービス)、より早期にエンドポイントに潜む脅威を検出できます。
「アンチウイルスのみ」「アンチウイルス+EDRのみ」導入するなど、柔軟な提案も可能です。
詳細は以下よりご覧ください。
3分で分かる!
LANSCOPE サイバープロテクション
2種類の次世代AIアンチウイルスを提供する「LANSCOPE サイバープロテクション」について、ラインナップと特長を紹介します。
まとめ
本記事では「マイクロセグメンテーション」をテーマに、その仕組みやメリット・デメリットなどを解説しました。
本記事のまとめ
- マイクロセグメンテーションとは、ネットワークを細分化し、セグメントごとに個別のセキュリティポリシーを適用する手法
- マイクロセグメンテーションを導入することで、攻撃対象領域(アタックサーフェス)の縮小や、脅威の横展開(ラテラルムーブメント)の阻止といったメリットが期待できる
- マイクロセグメンテーションを導入する際は、適切なポリシーの設計・継続的な運用に高度な専門知識が求められることを理解しておく必要がある
- マイクロセグメンテーションは、「仮想デスクトップ(VDI)環境の保護」や「クラウド環境への安全な移行」といった場面で活用できる
マイクロセグメンテーションは、巧妙化するサイバー攻撃、特にラテラルムーブメントといった内部拡散のリスクに対する強力な防御策です。
ネットワークをワークロード単位で細かく分離し、ゼロトラストの原則に基づいて通信を制御することで、被害の発生を未然に防ぎ、万が一の際も被害を極小化します。
クラウド活用やデジタルトランスフォーメーションを安全に推進していく上で、マイクロセグメンテーションは、これからの企業セキュリティの中核を担う重要な技術と言えるでしょう。
また、より強固なセキュリティ体制の構築には、 マイクロセグメンテーションに加えて、アンチウイルス・EDRを導入し、検知できない領域を補完し合う方法が有効です。
LANSCOPEサイバープロテクションの「Auroraシリーズ」は、高性能な「AIアンチウイルス」、EDR「Aurora Focus」、EDRを用いた運用監視サービス「Aurora Managed Endpoint Defense」をお客様の予算や希望条件に応じて提供します。
セキュリティ強化を目指す企業・組織の方は、マイクロセグメンテーションと組み合わせて利用することをぜひご検討ください。
おすすめ記事
