ブログ記事
マイクロセグメンテーションとは
マイクロセグメンテーションとは、ネットワークをより小さなゾーン、つまりマイクロセグメントに分割するネットワーク セキュリティ対策のことです。アプリケーションのワークロードを分割し、個別に保護します。マイクロセグメンテーションは、ゼロトラスト セキュリティ アプローチの基本要素の一つです。
マイクロセグメンテーションでは、ポリシーを使用して、ワークロード間のラテラル通信を詳細に制御し、マイクロセグメント内のデータとアプリケーションへのアクセス、制御方法を制限します。また、マイクロセグメンテーションは、パブリック クラウド、プライベート クラウド、ハイブリッド クラウド、マルチクラウド展開、オンプレミス データ センター、コンテナ環境内、およびそうした環境をまたいだすべての分散サービスにわたって、ゼロトラストの最小権限の原則を実践するのにも役立ちます。
マイクロセグメンテーションの概要
マイクロセグメンテーションの主な目的は、従来の境界セキュリティでは保護できない分散ネットワーク全体で、ゼロトラスト原則の適用などより堅牢なセキュリティ制御を実現することです。マイクロセグメンテーションをゼロトラスト アーキテクチャの一部として使用すると、すべてのネットワーク アクティビティを監視し、特定のセグメントで明示的に認証されたトラフィックのみを許可する、詳細なアクセス制御を実装することで、リソースを効果的に保護できます。
マイクロセグメンテーションでは、複数の物理ファイアウォールではなくネットワークの仮想化を使用して、ワークロード間の東西トラフィック(ラテラル ムーブメント)を制限し、すべての要素を分離して、ネットワーク内に個別のセグメントを作成します。また、ポリシー主導かつアプリケーション レベルのセキュリティ制御により、ネットワークの仮想マシン(VM)を保護できます。
マイクロセグメンテーションで制御できる要素
アプリケーション、ワークロードソフトウェア アプリケーションの個別のインスタンス(例:1つのデータベース)、またはある種の機能を実行するすべてのインスタンス(例:すべてのSQLデータベース)
仮想マシン個別の仮想マシンまたは仮想マシンのグループ(例:多層アーキテクチャをサポートする仮想マシン)
OS個別のOSまたは複数のOS(例:複数のOSを必要とする環境)
マイクロセグメンテーションは、境界が強化された環境向けに設計、開発された、より成熟したアプローチを上回る、いくつかの技術的利点を提供します。
マイクロセグメンテーション セキュリティを展開する環境タイプに応じて、さまざまなアプローチを採用できます。主な手法は、次の3つです。
ハイパーバイザーベースのマイクロセグメンテーションハイパーバイザーベースのマイクロセグメンテーションでは、ネットワーク トラフィックはすべて、仮想化環境内のハイパーバイザーを介して送信されます。このアプローチでは、ファイアウォールを設置したまま、ハイパーバイザー間でセキュリティ ポリシーを移動できます。ただし、ハイパーバイザーベースのマイクロセグメンテーションは、一部の展開(クラウド、ベア メタル、コンテナ、物理ワークロードなど)では適切に動作しないことに留意してください。
ホストベースのマイクロセグメンテーション各エンドポイント内にエージェントが配置されます。このアプローチでは、一元管理により、すべてのデータ、プロセス、サービス、ネットワーク通信をまたいで包括的な可視性を提供します。これにより、潜在的な脆弱性を特定できます。ホストベースのマイクロセグメンテーションの欠点は、すべてのホストにエージェントをインストールする必要があることです。
ネットワークベースのマイクロセグメンテーションネットワークベースのマイクロセグメンテーションでは、各種パラメーターを設定し、さまざまなネットワーク マイクロセグメントにアクセスできるユーザー(人間かどうかを問いません)を指定します。ネットワークベースのマイクロセグメンテーションは、仕組みは単純ですが、多くのセグメントを管理する必要があり、コストがかかる可能性があります。
マイクロセグメンテーションの仕組み
マイクロセグメンテーションを実装する最も一般的な方法は、次世代ファイアウォール(NGFW)を使用することです。マイクロセグメンテーションは、ソフトウェア定義ワイド エリア ネットワーク(SD-WAN)の一部として実装したり、ファブリック、ハイパーバイザー、エージェントを通じて展開したりすることもできます。
マイクロセグメンテーションでは、ポリシーを使用してセキュア ゾーンを作成し、リソースを分離して、詳細な保護を実現します。すべてのコンピュータ層を可視化し、NGFWを使用して、ネットワーク全体でアクセス ポリシーを構築できます。ゼロトラスト セキュリティをサポートするために、マイクロセグメンテーション ポリシーをデフォルトで設定し、アクセスを拒否するようにします。
マイクロセグメンテーションの種類
ここでは、サブネットワークのセグメンテーションに使用するリソースに基づいて、マイクロセグメンテーションを実装する一般的な方法を6つ紹介します。
アプリケーションのマイクロセグメンテーションアプリケーションのマイクロセグメンテーションでは、アプリケーション間の東西通信を厳密に制御することで、重要な機能を実行する高価値アプリケーションを保護します。これらの機能は通常、ベア メタル サーバー、VM、コンテナ上で動作します。これにより、組織はネットワークを再設計することなく、法規制の厳格なコンプライアンス要件(PCI DSS(ペイメント カード インダストリー データ セキュリティ基準)、SOX法(サーベンス、オクスリー法)、HIPAA法(米国における医療保険の相互運用性と説明責任に関する法令)など)に対応できます。
階層レベルのマイクロセグメンテーション
多層アプリケーション展開(Webサーバー、アプリケーション サーバー、データベースなど)の場合、階層レベルのマイクロセグメンテーションを使用して各層を分割し、それぞれ分離させます。たとえば、アプリケーションとデータベース間の通信は許可されますが、Webサーバー間の通信は許可されません。
階層レベルのマイクロセグメンテーションでは、特定のコンポーネントへのアクセス権限を必要とするユーザー、リソースへのアクセスを制限し、ゼロトラストの最小権限の原則を適用します。これにより、攻撃対象領域(アタック サーフェス)を縮小し、アプリケーションを分離することで、未認証のラテラル ムーブメントを阻止できます。
コンテナのマイクロセグメンテーション
コンテナのマイクロセグメンテーションは通常、サービス レベルで適用されます。同じイメージまたはサービスを使用してコンテナを作成した場合、複数のネットワーク マイクロセグメンテーション ポリシーを適用する必要はありません。コンテナのマイクロセグメンテーションでは、コンテナ間の通信を分割し、トラフィックを認証済み接続のみに制限することで、機密情報やビジネス上の重要な情報を保護します。
環境のマイクロセグメンテーション環境のマイクロセグメンテーションでは、さまざまなデータ センター、オンプレミス、クラウドをまたいで、展開環境(開発、テスト、本番など)を分離できます。これにより、複数の環境にアクセスする必要がある認証済みユーザーを除いて、環境間の通信を阻止できます。
プロセスベースのマイクロセグメンテーションプロセス、サービス、仮想マシン、ベア メタル サーバーの周囲に、強化された境界を確立できます。通信は、明示的なネットワーク パス、プロトコル、ポートに制限され、同じマシン上で実行されるプロセスの2つのインスタンスを、2つのマイクロセグメントに分離できます。
ユーザーのマイクロセグメンテーション
ユーザーのマイクロセグメンテーションでは、「決して信頼せず、常に検証する」というゼロトラストの原則に従って、リソースへのアクセス権限を付与する前にアイデンティティ(ID)を検証します。Microsoft Active DirectoryなどのIDサービスを使用して、ネットワーク レベルではなくアプリケーション レベルまたはサービス レベルでアクセスを制限します。仮想ローカル エリア ネットワーク(VLAN)内の個別のユーザーには、IDサービスによって検証されたグループ メンバーシップに基づいて、さまざまなシステムへのアクセス権限が付与されます。インフラに変更を加える必要はありません。
マイクロセグメンテーションの利点
マイクロセグメンテーションを適切に実装すれば、次のようなさまざまな利点を得ることができます。
すべてのアプリケーション、サービスをまたいで、アプリケーション対応ポリシーを展開可能
検出された脅威に基づいた自動適応
法規制遵守の強化
継続的かつ定量化可能なリスク評価
ネットワークとリソースの詳細なビュー
セキュリティ ギャップを解消し、保護を強化
悪意のあるアクティビティは、最初に侵害されたワークロードのみに限定される
ミスや見落としの軽減
高度標的型攻撃(APT)に対するより強力な防御
ゼロトラスト セキュリティ モデルのサポート
マイクロセグメンテーションのユース ケース
法規制遵守のためのマイクロセグメンテーション
マイクロセグメンテーションは、厳格なコンプライアンス要件(PCI DSS、HIPAA法、SOX法など)を遵守する必要がある組織に最適です。多くの組織は、複雑化する動的な環境を保護するという課題を克服するのに苦慮しています。マイクロセグメンテーションにより、企業インフラ全体でトラフィック フローの可視性と保護を強化し、仮想マシン、コンテナから、クラウド、オンプレミス環境で実行されるサービスに至るまで、あらゆるものを保護できます。
ハイブリッド クラウド管理のためのマイクロセグメンテーション
マイクロセグメンテーションにより、複数のデータ センターとクラウド サービス プロバイダーで構成されるハイブリッド環境全体で、セキュリティ ポリシーを一貫して適用できます。
インシデント対応のためのマイクロセグメンテーション
マイクロセグメンテーションにより、インシデント対応チームは、ログ データをマイクロセグメント レベルで取得し、攻撃戦術とテレメトリを詳細に把握して、脆弱性が発生している場所を正確に特定できるようになります。
機密情報を保護するためのマイクロセグメンテーション
マイクロセグメンテーションは、リソースを分離し、組織が機密情報を未認証のアクセス、流出、その他の悪意のある行為から保護するのに役立ちます。
動的環境でワークロードを保護するためのマイクロセグメンテーション
マイクロセグメンテーションは、信頼できるネットワーク、信頼できないネットワーク、オンプレミス システム、パブリック クラウド、プライベート クラウド、仮想化環境を備えた、複雑な企業の境界をまたいで、ワークロードの監視、セキュリティ保護を強化します。また、マイクロセグメンテーションは、動的資産(仮想化インフラ テクノロジー上で実行されている仮想インスタンス、従来の固定ネットワーク施行ポイントでは管理が難しいコンテナなど)を保護するのにも役立ちます。さらに、ワークロードごとにマイクロセグメントを作成し、詳細なアクセス ポリシーを直接適用できます。
開発システムと本番システムを分離するためのマイクロセグメンテーション
マイクロセグメンテーションは、開発システムと本番システムの分離を指示するプロトコルを施行します。2つの環境に対する詳細なアクセス制御により、偶発的または悪意のある未認証アクセスにつながる可能性のある接続を制限できます。
ゼロトラスト セキュリティ プログラムのためのマイクロセグメンテーション
マイクロセグメンテーションは、ゼロトラスト セキュリティ プログラムにおいて重要な役割を果たします。次の3つの機能により、マイクロセグメンテーションはゼロトラストをサポートします。
詳細なアクセスポリシーにより、人間かどうかを問わず、マイクロセグメントにアクセスできるユーザーを的確に指定し、最小アクセス権限の原則を適用できます。
ターゲットを絞ったセキュリティ制御により、ファイル サーバーからパブリック クラウドでホストされるアプリケーションに至るまで、マイクロセグメントにおける特定のリソースのリスク、脆弱性に対処できます。
IDアクセス管理(IAM)をより容易かつ効果的に利用して、ロール ベース アクセス制御と、「決して信頼せず、常に検証する」というゼロトラスト原則を実施できます。
マイクロセグメンテーションのベスト プラクティス
マイクロセグメンテーションのベスト プラクティスは、適切な戦略と実装計画を確実に遂行し、効果的な取り組みを実現するのに役立ちます。
適切なタイプのマイクロセグメンテーションを選択する。マイクロセグメンテーションを実装する環境と保護対象を検討します。厳格なコンプライアンス ルールを遵守するためのアプリケーション セグメンテーションや、開発、テスト、本番を分離するための環境セグメンテーションなど、要件に最適なマイクロセグメンテーションのタイプを選択します。
交換する情報に基づいてアプリケーションの境界を定義する。包括的なアーキテクチャ マップの評価に基づいてアプリケーションを定義し、その周囲に境界を設けるには、マイクロセグメンテーションを使用する必要があります。これにより、セキュリティ目標に合わせてポリシーを適切に適用できます。
アクセス レベルを特定、評価、定義する。システム、サービスのすべてのユーザー(人間とデジタル)を識別し、すべてのユーザーがそれぞれの役割を果たすために必要な、最小限のアクセス権限を決定することで、ゼロトラストを効果的に活用できます。こうしたマッピングを使用して、マイクロセグメントを管理する必要があります。このマッピングに基づいてポリシーを実装し、マイクロセグメンテーションに合わせてアクセス権限を施行する必要があります。
セキュリティ要件に従って資産にラベルを付ける。必要なセキュリティ保護と合致するセキュリティ ポリシーを特定したら、属性に基づいてセキュリティ ポリシーを定義することが重要です。
ネットワーク アーキテクチャをマッピングする。既存のネットワーク アーキテクチャのマッピングは、マイクロセグメンテーションにおける重要な最初のステップです。正確なネットワーク アーキテクチャ マップにより、効果的なセキュリティ ポリシーを適切に特定、構成、施行できます。
トラフィック、通信パターンを観察する。東西トラフィックと通信のパターンを緻密に観察することで、トラフィックの流入経路や通信が行われている場所を明確に把握できます。観察結果に基づいて、マイクロセグメントの設定方法を指示し、セキュリティ ギャップに対処できます。
アプリケーションをシミュレーション、検証する。シミュレーションを通じて、マイクロセグメンテーション実装ポリシーのギャップを特定、対処し、アプリケーションを検証します。
段階的なアプローチを採用する。マイクロセグメンテーションの取り組みを成功させるには、段階的に実装する必要があります。具体的な手順は次のとおりです。
マイクロセグメンテーションによってネットワーク セキュリティを向上
マイクロセグメンテーションは、単独で実装する場合であれ、ゼロトラスト セキュリティ プログラムの一部として実装する場合であれ、優れた成果をもたらします。マイクロセグメンテーションは、ネットワーク セキュリティを大幅に向上させることができるため、さまざまな業界で広く導入されています。企業ネットワーク内外の複数の場所に存在するワークロードとリソースに対して、実証済みのセキュリティ保護を提供します。
FAQ
よくある質問
マイクロセグメンテーションはどのようにセキュリティを強化しますか?
- セキュリティ セグメントをワークロード レベルで論理的に分割します
- マイクロセグメントごとにポリシーベースのセキュリティ制御を有効にします
- 最も詳細なレベルでワークロードを分離、保護します
ネットワーク セグメンテーションとマイクロセグメンテーションの違いは何ですか?
ネットワーク セグメンテーションとマイクロセグメンテーションの主な違いは、次のとおりです。
- ネットワーク セグメンテーションでは、ネットワーク内外の南北トラフィックに焦点を当てます。一方、マイクロセグメンテーションは、ネットワーク全体の東西トラフィックに焦点を当てます。
- ネットワーク セグメンテーションは、物理ネットワーク上に実装されます。一方、マイクロセグメンテーションは、ソフトウェア定義ネットワーク(SDN)を使用して、仮想ネットワークまたはオーバーレイ ネットワーク上で実行されます。
- ネットワーク セグメンテーションでは、大まかなポリシー制御を行います。一方、マイクロセグメンテーションでは、詳細なポリシー制御を実行します。
- ネットワーク セグメンテーションは、ネットワーク レベルのセキュリティを提供します。一方、マイクロセグメンテーションは、ワークロード レベルのセキュリティを提供します。
マイクロセグメンテーションはクラウド プロバイダー全体で実装できますか?
多くのマイクロセグメンテーション アプローチは、ホスト インフラから独立しているため、複数のクラウド プロバイダーをまたいで一貫して実装できます。
マイクロセグメンテーションの実装プロセスを教えてください。
マイクロセグメンテーションの実装プロセスは、6つの段階で構成されています。
- すべてのワークロードを検索、識別、グループ化します。
- 必要なアクセス制御を把握します。
- ワークロード間の通信要件をマッピングします。
- ワークロードの各グループに対してセキュリティ ポリシーを策定します。
- シミュレーションを実行して、各グループのポリシーをテスト、調整します。
- ワークロード全体にポリシーを展開します。
マイクロセグメンテーションが重要である理由は何ですか?
マイクロセグメンテーションが重要である理由として、ネットワーク セキュリティと機密情報の保護を強化し、リソースを分離してラテラル ムーブメントを防ぐことで、侵害による被害を最小化できることが挙げられます。
マイクロセグメンテーションの6つの主な実装タイプを教えてください。
- アプリケーションのマイクロセグメンテーション
- 階層レベルのマイクロセグメンテーション
- コンテナのマイクロセグメンテーション
- 環境のマイクロセグメンテーション
- プロセスベースのマイクロセグメンテーション
- ユーザーのマイクロセグメンテーション
関連コンテンツ
マイクロセグメンテーションについてもっと詳しく知る
ゼロトラストとは?ゼロトラストセキュリティの全貌を徹底解説
ゼロトラストとは準拠すべき標準ではなく、企業が取り組むべきセキュリティモデルのコンセプトです。
クラウドプラットフォームを適切に制御します
SailPoint IDセキュリティの詳細をご覧ください。
