マイクロセグメンテーションとは何ですか?

マイクロセグメンテーションは、組織に次のような多くのメリットをもたらします。

• 攻撃対象領域の縮小: マイクロセグメンテーションでは、ネットワークをより小さなセグメントに分割することで攻撃対象領域を減らし、攻撃者が重要な資産にアクセスすることをより困難にします。 
• 侵入封じ込めの改善: 侵入が発生した場合、マイクロセグメンテーションは、攻撃者がネットワーク内を移動する能力を制限することで、攻撃の影響を抑えるのに役立ちます。 マイクロセグメンテーションは、ネットワークの影響を受ける領域を分離することにより、マルウェアやその他の悪意のあるアクティビティの拡散を防ぎ、侵害によって引き起こされる潜在的な損害を軽減できます。 
• より強力な規制遵守: 多くの規制フレームワークでは、組織が機密データを保護するために強力なアクセス制御とセキュリティ対策を実装することを要求しています。 マイクロセグメンテーションは、承認されたユーザーとapplicationsのみが機密リソースにアクセスできるようにすることで、組織が規制基準への準拠を実証するのに役立ちます。 
• 簡素化されたポリシー管理: マイクロセグメンテーションにより、セキュリティ ポリシーをネットワークの特定のセグメントに適用できるようになり、ポリシー管理が簡素化されます。 これは、個々のデバイスやユーザーごとにポリシーを管理することが困難な大規模または複雑なネットワークで特に役立ちます。 

マイクロセグメンテーションは、適切に計画および実装されていない場合、ネットワークのパフォーマンスとセキュリティに課題をもたらす可能性があります。

• パフォーマンスの低下。 マイクロセグメンテーションにより、ネットワークの監視と管理がより複雑になる可能性があります。また、ネットワークを細かくセグメント化したり、セキュリティ ポリシーを多用したりすると、ネットワーク トラフィック パターンに影響を及ぼし、ネットワーク パフォーマンスが制限される可能性があります。 各セグメントにセキュリティ ポリシーを適用すると、ネットワークに追加のオーバーヘッドが発生し、遅延が発生し、ネットワーク パフォーマンスが低下する可能性があります。
• セキュリティのギャップ。 マイクロセグメンテーションは強力なセキュリティ技術ですが、すべてのトラフィックが適切にフィルタリングされ、許可/拒否されるように、ポリシーを正しく構成する必要があります。 誤った構成や一貫性のないポリシーの適用は、セキュリティのギャップ、正当なトラフィックのブロック、潜在的な脆弱性につながる可能性があります。

組織は、セグメントの数とサイズ、適用するセキュリティ ポリシー、ネットワーク トラフィック パターンへの影響など、マイクロセグメンテーション戦略を慎重に計画する必要があります。 マイクロセグメンテーションがネットワーク パフォーマンスに悪影響を及ぼしたり、セキュリティ ギャップを生じさせたりしないように、適切なテストと監視を実施する必要があります。

マイクロセグメンテーションにより、組織はネットワーク内に安全なゾーンまたはセグメントを作成し、ネットワーク トラフィックをきめ細かく制御して攻撃対象領域を最小限に抑えることができます。 次に、各セグメントは、許可されたトラフィックのみがセグメント間を流れるようにするポリシーと制御を使用して保護されます。

マイクロセグメンテーションは通常、ソフトウェア定義ネットワーク (SDN) を使用して実装され、物理ネットワーク インフラストラクチャに依存しない仮想ネットワークの作成が可能になります。 各ネットワーク セグメントは、セグメントに出入りできるトラフィックの種類を定義するポリシーを使用して保護されます。 たとえば、アクセス制御リスト (ACL) を使用して、各セグメントにアクセスを許可するユーザーまたはデバイスを制御できます。 侵入検知および防止システム (IDPS) を使用すると、各セグメント内の悪意のあるアクティビティを検出してブロックできます。 暗号化を使用すると、セグメント間で移動するデータを保護できます。

マイクロセグメンテーションにより、ネットワーク トラフィックの詳細な可視性と制御が可能になり、不正なトラフィックや潜在的なセキュリティ侵害の特定が容易になり、セキュリティ インシデントに迅速に対応できるようになります。

マイクロセグメンテーション コントロールには、主に 3 つのタイプがあります。

エージェントベースのマイクロセグメンテーション制御では、サーバー、ワークステーション、その他のネットワーク デバイスなどのエンドポイントにインストールされたソフトウェア エージェントを使用して、ネットワーク セグメンテーション ポリシーを適用します。 エージェントは、そのエンドポイントに固有のポリシーを継続的に監視および適用し、管理コンソールを通じて集中管理できるため、組織のネットワーク全体の構成および展開ポリシーが簡素化されます。

ネットワークベースのマイクロセグメンテーション制御では、 SDN を使用して、それぞれ独自のセキュリティ ポリシーと制御のセットを持つ仮想ネットワーク セグメントを作成します。 これらの仮想セグメントは互いに分離されているため、攻撃者による横方向の移動の可能性が制限されます。 ポリシーと制御は、エンドポイント レベルではなく、ネットワーク層で適用されます。 これにより、ユーザー ID、アプリケーションの種類、ネットワークの場所など、さまざまな要素に基づいてネットワーク トラフィックをセグメント化できるようになります。

ネイティブ クラウド マイクロセグメンテーションコントロールは、クラウド環境向けに特別に設計されています。 ネットワーク セキュリティ グループや仮想プライベート クラウドなどのクラウド ネイティブのセキュリティ機能を使用して、仮想ネットワーク セグメントを作成し、セキュリティ ポリシーを適用します。 これらのコントロールは、クラウド プラットフォームのネイティブ セキュリティ機能を活用して、すべてのクラウド インスタンスに自動的に適用されるきめ細かいセキュリティ ポリシーを提供します。

組織は、特定のニーズと目標に応じて、1 つ以上のタイプのマイクロセグメンテーションを実装することを選択できます。 マイクロセグメンテーションの一般的なタイプは次のとおりです。

アプリケーションのセグメンテーション

アプリケーション セグメンテーションは、データベース、API、Web サーバーなどの特定のアプリケーション リソースへのアクセスを制御するセキュリティ ポリシーを作成することで個々のアプリケーションを保護し、不正アクセスやデータ侵害を防ぐのに役立ちます。 また、組織は最小限の権限のアクセス制御を実施して、ユーザーとアプリケーションが特定の機能を実行するために必要なリソースにのみアクセスできるようにすることもできます。

階層セグメンテーション

階層セグメンテーションは、Web 層、アプリケーション層、データベース層など、アプリケーション スタックのさまざまな層またはレイヤーを保護し、攻撃者がアプリケーション スタック内で横方向に移動して機密データやリソースにアクセスするのを防ぎます。

環境セグメンテーション

開発環境、テスト環境、運用環境など、ネットワーク内のさまざまな環境またはゾーンを保護することで、組織はこれらの環境への厳格なアクセス制御を実施し、機密データとリソースに許可されたユーザーとアプリケーションのみがアクセスできるようにすることができます。

コンテナのセグメンテーション

コンテナのセグメンテーションは、コンテナ化された環境内の個々のコンテナまたはコンテナのグループを保護し、攻撃対象領域を減らし、攻撃者がコンテナ環境内で横方向に移動するのを防ぐのに役立ちます。 適切なセグメンテーションがないと、コンテナーが互いのデータや構成ファイルにアクセスする可能性があり、セキュリティ上の脆弱性が生じる可能性があります。

コンテナセグメンテーションのベストプラクティス

• コンテナの分離。 Docker や Kubernetes などのテクノロジーを使用して、コンテナーがホスト システムおよび同じシステム上の他のコンテナーから分離されていることを確認します。 これにより、コンテナが指定されたスコープ外のリソースにアクセスできなくなります。
• ネットワークのセグメンテーション。 ネットワーク セグメンテーションを使用して、コンテナーと他のネットワーク リソース間の通信を制限します。 これには、コンテナごとに個別のネットワークを作成し、コンテナ間のトラフィックを許可または拒否し、許可された通信のみが許可されるようにファイアウォール ルールを構成することが含まれます。
• ロールベースのアクセス制御。 ロールベースのアクセス制御 (RBAC) を実装して、許可されたユーザーだけがコンテナーと関連リソースにアクセスして変更できるようにします。 Kubernetes RBAC などの RBAC フレームワークを実装して、ユーザーの役割と権限を定義および適用できます。
• イメージ署名。 イメージ署名を使用して、信頼できるイメージのみがコンテナの作成に使用されるようにします。 デジタル署名は、コンテナ イメージの改ざんや変更を防ぐのに役立ちます。
• ランタイム保護。 ランタイム保護を使用して、コンテナの実行中にセキュリティの脅威を検出し、対応します。 ランタイム セキュリティ エージェントや脆弱性スキャナーなどのツールは、コンテナを監視して侵害の兆候を検出し、リスクを軽減するための適切なアクションを実行できます。

クラウド セキュリティにおけるユーザー セグメンテーション

• RBAC は、ユーザーの責任とアクセスのニーズに基づいて、ユーザーを特定の役割またはグループに割り当てます。 各ロールには、そのロールに適した一連の権限とアクセス制御が関連付けられています。 RBAC により、ユーザーは業務を遂行するために必要なリソースとデータにのみアクセスできるようになります。
• 多要素認証 (MFA) では、システムまたはアプリケーションへのアクセスを許可する前に、ユーザーが 2 つ以上の認証形式を提供する必要があります。 これには、パスワード、セキュリティ トークン、ワンタイム アクセス コード、生体認証データなどが含まれます。 MFA は、特に RBAC と組み合わせると、クラウド リソースへの不正アクセスを防ぐ効果的な方法です。
• 継続的な監視では、ユーザー アクティビティとシステム ログを定期的に分析して、疑わしい動作や潜在的なセキュリティ脅威を検出します。 ユーザーの通常のアクセス パターンや動作から外れたアクティビティをセキュリティ チームに警告することで、異常な動作を特定するのに役立ちます。
• 職務の分離により、重要なプロセスまたはシステムを完全に制御できるユーザーが 1 人だけにならないことが保証されます。 ユーザーを異なる役割と責任に分割することで、不正行為やエラーのリスクが軽減され、機密性の高い操作が複数の従業員によって実行されるようになります。
• 定期的なアクセスレビューでは、システムやアプリケーションへのユーザー アクセスを定期的に評価し、ユーザーが必要なリソースにのみアクセスできるようにします。 アクセス レビューは、不要なアクセス権を識別して削除し、不正アクセスのリスクを軽減するのに役立ちます。

ワークロードは、ネットワーク上で実行される計算または処理の単位であるため、マイクロセグメンテーションの重要な側面です。 ワークロードは、適切に機能するために相互に通信する必要があるアプリケーション、サービス、またはプロセスです。 マイクロセグメンテーションは、ワークロード レベルできめ細かいセキュリティ制御を提供し、組織が特定のワークロードを潜在的な脅威から分離して保護できるようにします。 ワークロードをセグメント化することで、組織は潜在的な攻撃対象領域を制限し、脅威の横方向の移動を防ぎ、ワークロードごとにセキュリティ ポリシーを適用できます。

ワークロードには依存関係があり、ネットワーク環境内のさまざまなapplicationsやサービスと関係や相互作用を持つことになります。 1 つのapplicationまたはサービスへのアクセスの変更が他のapplicationsやサービスのパフォーマンスやセキュリティに影響を与える可能性があるため、依存関係を理解することは、効果的なマイクロセグメンテーション戦略にとって重要です。 マイクロセグメンテーションを実装する前に依存関係をマッピングする必要があります。 

境界セキュリティまたはネットワーク セキュリティとマイクロセグメンテーションは2つの異なるセキュリティ戦略であり、それぞれがネットワーク セキュリティの別の側面に対処します。境界セキュリティは、外部ソースからネットワークへのアクセスを制限することでネットワークの外周（通常はネットワーク エッジ）を保護し、外部の脅威に対する最前線の防御策を提供します。セキュリティ境界を越えようとする「南北方向」（クライアントからサーバーへ）のトラフィックを検査し、悪意のあるトラフィックを阻止します。境界セキュリティは通常、ファイアウォール、侵入検知・防御システム、VPNなどのテクノロジで実現されます。

マイクロセグメンテーションは、ネットワークの内部セキュリティに注目し、ネットワークをより小さなセグメントまたはゾーンに分割して、各セグメントにきめ細かいセキュリティ管理を実施します。これにより、組織はネットワーク内の「東西」の横方向のトラフィックを制御し、アプリケーションまたはワークロード レベルで潜在的な攻撃対象領域を縮小することができます。

ネットワーク セグメンテーションとマイクロセグメンテーションはどちらもネットワークのセキュリティとパフォーマンスを向上させますが、根本的に異なります。 従来のネットワーク セグメンテーション (マクロ セグメンテーションと呼ばれることもあります) では、機能や場所に基づいてネットワークをより大きなセグメントに分割します。 これは通常、ネットワークに出入りする「南北方向」（クライアントからサーバーへ）のトラフィックに焦点を当てています。  

マイクロセグメンテーションは、ネットワークをより小さなセグメントに分割し、それらに固有のセキュリティ ポリシーを適用することで、東西ネットワーク アクセスをよりきめ細かく制御し、ゼロ トラスト アクセス制御を実施する機能を提供します。 マイクロセグメンテーションは、ネットワーク レベルではなく、個々のワークロードまたはアプリケーション レベルでセキュリティ ポリシーを適用します。

ファイアウォール ポリシーは、組織のファイアウォールがネットワークの異なるセグメント間またはネットワークとインターネット間のトラフィックを許可または拒否する方法を定義するルールです。 ファイアウォール ポリシーは、これらのセグメントとレイヤー間のトラフィックの許可または拒否方法を決定するルールです。 

ファイアウォールは、事前に定義されたルールに基づいてトラフィックをフィルタリングすることで、ネットワークへのアクセスを制御します。 ファイアウォールはセグメント間のアクセスを制御するために使用できますが、マイクロセグメンテーションはネットワークをより小さなセグメントに分割し、各セグメントに固有のセキュリティ ポリシーを適用します。 これにより、ネットワーク アクセスをより細かく制御できるようになり、組織は特定のapplicationsやサービスへのアクセスを制限できるようになります。 

仮想ネットワークは物理ネットワーク インフラストラクチャ内で動作しますが、ソフトウェアを使用して、セキュリティで保護されたネットワーク経由でコンピューター、VM、サーバー、または仮想サーバーを接続します。 これは、ハードウェアとケーブルでネットワーク システムを接続する従来の物理ネットワーク モデルとは対照的です。 仮想ネットワークを使用すると、大規模なネットワーク内に分離された環境を作成し、組織が特定のapplicationsまたはサービスをマイクロセグメント化できるようになります。  

マイクロセグメンテーションは、攻撃者が利用できる攻撃対象領域を制限するため、組織がネットワーク内のアプリケーションとデータを潜在的な脅威からより適切に保護するのに役立ちます。 さらに、マイクロセグメンテーションにより、ネットワーク トラフィックの可視性と制御が向上し、セキュリティ インシデントの特定と対応が容易になります。

F5 は、組織がネットワーク内でマイクロセグメンテーションやその他のセキュリティ制御を実装および管理するのに役立つ製品とサービスを提供しています。 F5 がパブリック クラウド、ハイブリッド クラウド、データ センター、エッジ サイト全体でシンプルで安全な接続を実現する方法を学びます。 F5 がアプリケーション層のセキュアなネットワークと自動化されたクラウド ネットワーク プロビジョニングを提供し、運用効率を向上させる方法をご覧ください。