マイクロセグメンテーションは、従来のネットワークセキュリティ手法よりも高度なセキュリティを提供するため、注目を集めています。この技術は、ネットワークを物理的な区画ではなく、機器やアプリケーション等の細かい単位で分割し、それぞれの区画に通信を制御することができます。これにより、不正アクセスや攻撃からの保護が強化され、セキュリティリスクの低減が期待できます。
本記事では、マイクロセグメンテーションが注目される背景、マイクロセグメンテーション製品の特長、導入における注意点などについて解説します。
- マイクロセグメンテーションとは
- マイクロセグメンテーションが注目される背景
- マイクロセグメンテーション製品の特長
- エージェント型マイクロセグメンテーション製品のメリット
- マイクロセグメンテーション製品導入の注意点
- マイクロセグメンテーション製品と類似製品との比較
- ベンダ製品の紹介
- おわりに
- 関連するITソリューション
- ニュースリリース
- パブリシティ
マイクロセグメンテーションとは
マイクロセグメンテーションとは、ネットワーク内の通信を細かく制御してセキュリティを高める手法です。特に、組織内に侵入したマルウェア(ウイルスやランサムウェアなどの悪意のあるソフトウェア)の拡散を防ぐために、ラテラルムーブメント(横方向への移動)を制限することが重要な対策として挙げられます。ラテラルムーブメントとは、マルウェアが侵入した1つのコンピューターから他のコンピューターに手動または自動的に拡がることを指します。
マイクロセグメンテーションが注目される背景
マイクロセグメンテーションは、2010年代初頭に仮想化技術を活用することで開発され、データセンター内のリソースを複数の区分に分割(セグメンテーション)することに利用されていました。これは、データセンター内のセグメンテーションに注目し、複数のサーバにファイアウォールを用いる代わりに、ネットワーク仮想化の技術を使用してセグメント(区画)を細かく分けることで、マルウェアの拡散を防ぐものでした。
現在では、クラウドシフトの加速やテレワークの普及により、従来の「境界型」から「ゼロトラスト」へ転換が進んでいます。これは、内部ネットワークに侵入される脅威が増えたため、従来の「境界型」だけではセキュリティが不十分になってきたためです。このような背景から、マイクロセグメンテーションは、日本でも一部の企業で採用され、セキュリティ強化のために注目されています。
海外では、2021年5月に米国大統領令によるサイバーセキュリティ強化策において、セグメンテーションが重視される動きがありました。ここでは、ランサムウェア攻撃が世界中の組織に混乱をもたらし、脅威が深刻かつ増加している中で、米国政府が推奨するベストプラクティスの1つとして説明されています。具体的には、セグメンテーションを細かく行うことで、攻撃者がネットワーク全体を侵害することを防ぎ、攻撃の拡大を制限することができると説明されています。また、NISTのゼロトラスト文書(NIST SP800-207 Zero Trust Architecture)でも、マイクロセグメンテーションが言及されています。
マイクロセグメンテーション製品の特長
マイクロセグメンテーションに特化した製品には、次のようにネットワークの可視化やポリシーの定義・管理が管理画面を用いて容易に行え、使いやすさに優れたものがあります。
エージェント型マイクロセグメンテーション製品のメリット
マイクロセグメンテーション製品を利用した実装方法には、ネットワーク型、ホスト型、エージェント型の3つのタイプがあります。その中でもエージェント型のマイクロセグメンテーション製品は、各デバイスに専用のエージェントを導入することでデバイスごとに細かいポリシーを設定できます。このような設定により、ネットワーク内の通信をリアルタイムで監視し、異常な通信を自動的に検知して適切に対処することができます。その結果、外部からの攻撃に対して高いセキュリティを発揮し、機密性の高いデータを安全に保護することができます。
エージェント型は、きめ細かなセキュリティ対策が可能なことから広く利用されています。代表的な製品にはアカマイ・テクノロジーズの「Akamai Guardicore Segmentation」やイルミオの「Illumio Core」があります。
マイクロセグメンテーション製品導入の注意点
マイクロセグメンテーション製品の管理画面は直感的なGUIにより、可視性、可読性、操作性に優れています。一方で、適切な設計と運用には、以下の点に注意する必要があります。
設計面の注意点
マイクロセグメンテーション製品には「ラベル」と「ポリシー」という機能があります。ラベルは、ネットワーク上のデバイスやアプリケーションに名称を付ける事で何を守るかを明確にします。また、ポリシーはネットワーク上のデバイスやアプリケーションが通信可能なセグメントを定義するもので、ラベル単位、ドメインやサブネット単位、プロセス単位で制御することができます。例えば、ラベルとポリシーを使用して、特定のアプリケーションが、あるセグメントからのみアクセス可能であるように制御することができます。
ネットワークの可視化とアクセス制御を効果的に実現するためには、これらの機能を理解し適切に設計することが重要です。一方で細かく分割しすぎると管理が難しくなり、大雑把にするとセキュリティが緩くなるため、重要なものを把握し、細かさを決めることが大切です。
運用面の注意点
マイクロセグメンテーション製品を効果的に使用するためには、長期的な視点での運用計画の策定、柔軟なセグメント設定、継続的な運用・監視が必要です。
長期的な視点での運用計画の策定
今後も増加し続けるデバイス数やセキュリティ上の問題に対応するため、将来的な拡張性を考慮した計画を立てることが必要です。
柔軟なセグメント設定
新しいデバイスが追加された場合やアプリケーションが変更された場合に、セグメント設定を変更する必要があるため、システムの設計においてセグメントの設定変更に柔軟に対応できるようにする必要があります。たとえば、システム全体のラベル設計を慎重に行うことで、新たなデバイスやアプリケーションが追加された場合でも、既存のポリシーに反映させることができます。
継続的な運用・監視
セキュリティレベルを維持するためには、継続的な運用・監視が必要です。これにより、セキュリティ上の問題を早期に発見・修正し、最新の情報を把握して対策を講じることができます。また、セキュリティ上問題がなかったのに、アプリケーションの機能追加やアップデート、設定項目の追加などにより、セキュリティレベルが低下してしまうケースがあります。そのため、システム監視によりセキュリティ上の問題を早期に発見し、必要に応じて設計を見直す必要があります。
マイクロセグメンテーション製品と類似製品との比較
マイクロセグメンテーション製品と類似したセキュリティ製品には、ファイアウォールやVPN、IDS/IPS、EDRなどがありますが、それぞれ守備範囲が異なります。
ベンダ製品の紹介
Akamai Guardicore Segmentation
Akamai Guardicore Segmentationは、米国アカマイ・テクノロジーズが提供するマイクロセグメンテーション製品です。シンプルで直感的な方法でネットワークにゼロトラストの原則を適用し、セグメンテーションポリシーの設定やネットワークセキュリティアラートによる悪意のある通信の抑止が可能です。
Akamai Guardicore Segmentation | Akamai
Illumio Core
Illumio Coreは、米国イルミオが提供するマイクロセグメンテーション製品です。クラウドやデータセンターのマイクロセグメンテーションとセキュリティポリシーの可視化・管理を提供します。
イルミオコアプロテクション|イルミオコアプロダクト|イルミオ
おわりに
マイクロセグメンテーション製品は直感的なGUIによる使いやすさに優れ、一部の製品ではプロセスレベルでのネットワーク可視化と柔軟な制御が可能です。しかし、「何を守るか(ラベル)」や「どのレベルでどのようなルールでセグメント化するか(ポリシー)」などの計画が非常に重要です。ポリシーに即した適切な設計と運用により、マイクロセグメンテーションは企業のセキュリティ戦略の重要な一部となり、従業員、顧客、企業資産を保護することができるでしょう。
関連するITソリューション
ニュースリリース
大和総研、従来のセキュリティ対策を強化する最新ゼロトラストセキュリティソリューションを導入
