マイクロセグメンテーションとは

マイクロセグメンテーションが重要な理由

IT部門はマイクロセグメンテーションを活用することで、リソースのアイデンティティーに基づいてポリシーと権限を設定できます。そのため、マイクロセグメンテーションはデータ センター内で通信する個々のワークロードの特性に基づいて効率的にグループ化するための理想的な方法といえます。マイクロセグメンテーションと最小特権の原則に基づくアクセス制御を組み合わせることで、重要なアプリケーションとデータの保護が強化されるため、全体的なセキュリティ態勢が大幅に向上します。

さらに、マイクロセグメンテーションは動的に変化するネットワークやそれに付随するビジネスもしくは技術的な要件に依存しないため、強力で信頼性の高いネットワーク セキュリティを実現できます。これは、アクセス制御を簡素化するゼロトラスト ネットワーク アクセス(ZTNA)フレームワークの基盤となる要素です。

また、管理も非常にシンプルで、何百ものアドレスベースのルールの代わりに、わずか数個のアイデンティティーベースのポリシーを設定するだけでセグメントを保護できます。

マイクロセグメンテーションとネットワーク セグメンテーションの違い

ネットワーク セグメンテーションとマイクロセグメンテーションは同じ意味で使われる場合がありますが、両者は根本的に異なる概念です。

ネットワーク セグメンテーションは、南北方向のトラフィック(ネットワークを出入りするトラフィック)への使用に最適です。通常、ネットワーク セグメントはVLANやファイアウォールを介して構築され、セグメント(ゾーン)は地理的リージョンまたは既存のネットワーク層(データ、アプリケーション、ネットワーク)に基づいています。ネットワーク セグメンテーションでは、ユーザーなどのエンティティーが指定されたゾーンに入った段階で信頼されます。

一方、マイクロセグメンテーションは東西方向のトラフィック(サーバー間やアプリとサーバー間など、データ センターやクラウド ネットワーク全体)への使用に最適です。簡単に言えば、ネットワーク セグメンテーションは城を守る外壁と堀のようなもので、マイクロセグメンテーションは城内にあるそれぞれの扉の前に立つ守衛のようなものです。

マイクロセグメンテーションの仕組み

マイクロセグメンテーション ソリューションは、ワークロードまたは仮想マシン(VM)を互いに分離させて、個別に保護できるようにするセキュリティ ゾーンを作ります。つまり、ネットワーク トラフィックのきめ細かなパーティショニングを可能にし、サイバー攻撃に対する耐性を高めるよう構築されています。

現代のハイパーコネクテッドな環境において、マイクロセグメンテーションは最新のセキュリティ戦略の中心的な役割を担っています。マイクロセグメンテーション ポリシーを含むアプローチにより、IT部門やセキュリティ部門はさまざまな種類のトラフィックに合わせて設定を調整できます。こうすることで、ワークロード間におけるネットワーク フローとアプリケーション フローを、明示的に許可されたものに制限できるようになります。

セグメンテーション ルールをワークロードまたはアプリケーション レベルにまで適用することで、攻撃対象領域を縮小しながら、攻撃者が侵害されたワークロードまたはアプリケーションから別のワークロードやアプリケーションに移動するリスクを軽減できます。

マイクロセグメンテーションのユース ケース

マイクロセグメンテーションは、次のような一般的なユース ケースを成功させるうえで不可欠な要素となっています。

• クラウド移行：マイクロセグメンテーションはクラウド ワークロードの安全な直接接続を可能にし、マルチクラウド インフラ全体で安全なワークロード通信を確保することで、シンプルでスピーディーなクラウド化を実現します。
• 合併と買収：マイクロセグメンテーションでは、ネットワーク同士を接続させることなく他のネットワーク上のアプリケーションにアクセスできるため、M&A後の統合作業を合理化できます。また、管理者は統合されたセキュリティ態勢を適用して、異なるVPC、リージョン、パブリック クラウドのワークロードを保護できます。
• 仮想デスクトップ インフラ：マイクロセグメンテーションは、明示的に許可されたサイトやプライベート アプリケーションに適切なアクセス制御ポリシーを適用することで、クラウド インフラから提供されるVDIを保護します。
• ワークロードのセグメント化：マイクロセグメンテーションにより、さまざまなVPC/VNet、リージョン、またはパブリック クラウドにあるクラウド ワークロードの接続をきめ細かく制御できるようになります。

従来のセグメンテーションを超えるマイクロセグメンテーション

マイクロセグメンテーションは、ネットワーク セキュリティに対して動的でコンテキスト認識型のアプローチを提供します。従来のネットワーク セグメンテーションがIPアドレスに基づく静的なファイアウォール ルールに依存していたのに対し、マイクロセグメンテーションはアプリケーション層、ユーザーのアイデンティティー、デバイス属性に焦点を当てます。マイクロセグメンテーション ポリシーは特定のIPアドレスに関連付けられていないため、オンプレミスのデータ センターやマルチクラウド環境を含む、最新のネットワークに適応しやすいのが特長です。

従来のセグメンテーションでは定期的なルールの更新が必要になりますが、マイクロセグメンテーションはネットワーク構成の変更、モバイルのデバイスとユーザー、進化する脅威などに動的に対応します。マイクロセグメンテーションはユーザーの振る舞いやアプリケーションのコンテキストなどを考慮し、現代のIT環境により堅牢で柔軟かつ効果的なセキュリティ フレームワークを提供します。

従来のセグメンテーション アプローチでは不十分な理由

ネットワーク アドレスに基づいたセグメンテーションでは、何が通信しているのかを識別できないため、例えばソフトウェアのアイデンティティーを特定することはできません。このアプローチで識別できるのは、IPアドレス、ポート、プロトコルといった「リクエスト」の発信元がどのように通信しているか、ということだけです。つまり、何が通信を試みているのかをIT部門やセキュリティ部門が正確に把握できなくても、「安全」とみなされる限り通信は許可されてしまうのです。

さらに、ネットワーク上の「セキュリティ ゾーン」に一度入ったエンティティーは信頼されてしまうため、セキュリティ侵害が発生したり、フラットなネットワークにおいてはラテラル ムーブメントにつながったりする恐れがあります。

マイクロセグメンテーションの機能とメリット

マイクロセグメンテーションには、次のような機能とメリットがあります。

• ネットワーク全体にわたる集中型のセキュリティ制御と管理：マイクロセグメンテーションは南北方向ではなく東西方向のトラフィックを管理するため、ポリシーは管理対象のセグメントを通過するすべてのトラフィックに適用されます。また、ポリシーがより明確であるため、ネットワーク セグメンテーションに比べてネットワーク アクティビティーの可視性がはるかに高くなります。
• 自動的に適応するセグメンテーション ポリシー：ポリシーはハードウェアではなくワークロードに適用されるため、インフラの変更に影響されません。つまり、ITセキュリティ部門は業務を中断させることなく、一連の制御をどこにでも拡張できます。
• 隙のない保護：セキュリティ ポリシーはプライベート クラウド、パブリック クラウド、コンテナー、オンプレミスのデータ センター、ハイブリッド クラウド環境、オペレーティング システムにまで適用されます。これはポリシーがネットワークのセグメントではなく、ワークロードに固有であるためです。
• 簡素化された監査：マイクロセグメンテーションは各リソースを一意に識別するため、他のアプローチよりも可視性が大幅に向上し、規制遵守のための監査をより迅速かつ簡単に実施できます。

マイクロセグメンテーションのビジネス上のメリット

ネットワークとITのための事前予防的なセキュリティ

マイクロセグメンテーションは、すべてのアプリとサービスに追随するアプリケーション認識型のポリシーを作成することで、従来のセグメンテーションに共通するセキュリティの障害を取り除きます。潜在的なデータ侵害は影響を受けた資産の中に封じ込められるため、ネットワーク全体に広がることはありません。この最も効果的なマイクロセグメンテーション サービスは自動化を活用して、通信しているすべてのソフトウェアを特定し、ゼロトラスト ポリシーを推奨します。また、このポリシーをワンクリックで適用させる機能も提供します。

脆弱性の軽減

IPアドレス、ポート、プロトコルに依存する静的な制御の代わりに、各ワークロードを暗号化してフィンガープリントし、社内のデータセンターまたはクラウドで稼働するワークロードに一貫した保護を提供します。このフィンガープリンティングにより、ワークロードのセキュリティがIPアドレス構造から切り離されるため、IPベース制御に関連した問題を回避できます。

継続的なリスク評価

マイクロセグメンテーションは、可視化されているネットワークの攻撃対象領域を自動的に測定し、使用されている可能性のあるアプリケーションの通信経路の数を特定することで、リスク エクスポージャーを定量化します。一部のサービスでは、ソフトウェアが通信をリクエストするたびにアイデンティティーが検証されるため、リスクの軽減や規制コンプライアンスの準拠、視覚化されたリスク レポートの提供が可能になります。

マイクロセグメンテーションを成功させるためのベスト プラクティス

業界や規制上の義務などによって異なる場合がありますが、マイクロセグメンテーションを成功させるには次のような一般的なベスト プラクティスに従う必要があります。

• アプリケーションレベルの認識、ユーザー アイデンティティー、デバイス属性に基づいて詳細かつきめ細かな最小特権アクセス ポリシーを作成し、各ユーザーまたはエンティティーが作業に必要なリソースのみにアクセスできるよう制限します。
• アイデンティティーおよびアクセス管理(IAM)システムと統合して、ユーザーのロールと権限に合うポリシーを適用します。
• ネットワーク トラフィックとポリシー施行のリアルタイムかつ継続的なモニタリングと監査を実装して、異常やポリシー違反を検出します。
• ネットワーク構成やセキュリティ態勢の変更に応じてポリシーを展開および調整する自動化ツールを使用します。
• 定期的なセキュリティ監査とペネトレーション テストを実施し、文書化を徹底することで、ポリシーの有効性を維持するとともに、コンプライアンスに関するレポートとトラブルシューティングをサポートします。

ゼロトラスト セグメンテーション

ゼロトラストのセキュリティ モデルはマイクロセグメンテーションの原則に基づいています。ポリシーはネットワーク セグメントではなくワークロードに適用されるため、接続に対して十分なコンテキストを確立できない場合でも、場所や宛先のリソースに依らずアクセスをきめ細かく制御できます。

例えば、ゼロトラストのモデル(特にクラウドベースのモデル)では、医療機器に対して他の医療機器としか通信できないポリシーを設定することができます。また、エンドポイント デバイスやワークロードが移動する場合でも、セキュリティ ポリシーとその属性はリアルタイムで追随します。

クラウド セキュリティ プロバイダーの多くは、クラウドベースのゼロトラスト サービスを宣伝どおりには提供できていません。現在の高度なサイバー脅威からネットワーク、アプリケーション、機密データを保護する包括的なクラウド ネイティブ ゼロトラスト セキュリティを提供できるのは、Zscalerだけなのです。

Zscalerのソリューション

Zscaler Workload Communicationsは、クラウドのアプリケーションとワークロードを保護するための最新アプローチです。ワークロード向けの安全なゼロトラスト クラウド接続によって、ネットワークの攻撃対象領域の排除、脅威のラテラル ムーブメントの阻止、ワークロード侵害の防止、機密データの流出防止が可能になります。

Workload Communicationsは、Zscaler Zero Trust Exchange™プラットフォームを使用してクラウド ワークロードを保護します。アイデンティティー、リスク プロファイル、ロケーション、行動分析を活用した明確な信頼ベースのセキュリティで悪意のあるアクセスを阻止します。

高度なSSLインスペクションを備えた脅威対策により、さらに強力なサイバー防御が実現します。サイバー保護はクラウドで提供されるため、セキュリティ ポリシーの構成、管理、維持も簡単に行えます。ゼロトラストの保護を採用することで、ネットワークの攻撃対象領域をこれまで以上に簡単に排除できます。