用語集

マイクロセグメンテーションとは

Q: マイクロセグメンテーションとは

マイクロセグメンテーションは、組織のデータセンターやクラウド環境において、ワークロード間のネットワークアクセスを制御、制限し、セキュリティを確保するためのベストプラクティスです。

Q: マイクロセグメンテーションの仕組み

組織は、これまでは境界型セキュリティをネットワークに適用することが一般的でした。これらのセキュリティプロトコルやデバイスは、クライアントとサーバー間の通信や、外部からネットワークに送信されるデータ、または逆方向のデータの流れを監視します。以前は、ネットワーク内であれば全てが信頼されていたため、データは慎重に監視されることなくワークロード間の横方向の移動も可能でした。しかしながら、クラウドの普及に伴い、組織内のほとんどのトラフィックが境界を越えてワークロード間でやり取りされることが増えているため、境界型セキュリティに基づいた従来のアプローチでは、この横方向のトラフィックを十分に監視することができなくなっています。マイクロセグメンテーションは、そのようなワークロードを分離し、それぞれに異なるポリシーやルールを適用することで、2 つのワークロードがお互いのデータにアクセスできるかどうかを決定します。

Q: マイクロセグメンテーションのメリット

マイクロセグメンテーションは、組織は、システム内における横方向の攻撃の脅威を軽減または防止します。さらに、ワークロード保護の優先順位づけのための知見を IT 部門に提供します。また、次のことも可能になります。攻撃対象領域を減らすセキュリティ侵害をより効果的に封じ込める規制への対応を強化ポリシー管理を簡素化する最も重要なワークロードを保護する

Q: マイクロセグメンテーションの実装方法

IT 部門は、ネットワークセグメンテーションを実装する前に、その基本的な内容を理解し、実際に使用経験を積む必要があります。また、きちんと定義されたセキュリティポリシーを用意することも重要です。そのポリシーがネットワークリソースを互いに分離する方法の基礎となります。また、包括的な検出プロセスを経て、アプリケーションやネットワークのトラフィックフローを徹底的に可視化するには、ある程度の時間がかかるかもしれません。ネットワーク上で実行されているデバイス、アプリケーション、その他のワークロードを把握し、それぞれのデータフローを決定する必要があります。

Q: マイクロセグメンテーションのユースケース

ハイブリッドクラウドの管理：組織は一貫したセキュリティコントロールとポリシーを作成し、データセンターだけでなく、さまざまなクラウドプラットフォームでも強力な保護を受けることができます。本番システムと開発システムの分離：マイクロセグメンテーションは、単に 2 つの環境を分離するだけでなく、より厳密にそれらを分離するためのポリシーの作成も可能にします機密性の高いデータや資産に対するセキュリティの強化：組織内の悪意のある人物からの機密性の高い顧客情報や企業情報、知的財産などの「ソフト」資産への攻撃に対し、保護のレベルが向上します。インシデントレスポンス：マイクロセグメンテーションは攻撃者がシステム内を自由に移動するのを制限します。さらに、ほとんどのマイクロセグメンテーションソリューションにはログ機能が組み込まれているため、セキュリティチームは攻撃とそれに対するアクションをより明確に把握できるようになります。

マイクロセグメンテーションは、セキュリティ対策のベストプラクティスの 1 つとして認識されており、データセンターやクラウド環境でのワークロード間のネットワークアクセスを制御・制限することでセキュリティの強化を図ります。

セグメンテーションは新しい技術ではなく、これまでも、ネットワークやアプリケーションの区画分けは IT 部門によって行われてきました。例えば、ネットワークセグメンテーションは、ネットワークを複数のセグメントに分割する手法です。攻撃対象領域を減らすことで、特定のネットワークセグメント上のホストが侵害された場合でも、他のセグメントのホストが犠牲にならないようします。

一方、マイクロセグメンテーションは、従来のセグメンテーションとは異なり、データやアプリケーションごとに非常に細かくネットワークを分割できます。IT 部門は、複数の物理的なファイアウォールを使うのではなく、ネットワーク仮想化技術を使用して、個々のデータ共有やワークロードに対して固有のポリシーベースのセキュリティ制御を実装できます。こうすることで、データセンターやクラウド環境に極めて特定されたセキュリティゾーンができ、組織のセキュリティ体制と攻撃に対する防御力が向上し、サイバーイベントの影響範囲が最小限に抑えられます。

クラウドの普及に伴い、データとワークロードの完全な分離およびポリシーの統合が必須であり、マイクロセグメンテーションはますます一般的になっています。マイクロセグメンテーションは、従来の境界型セキュリティでは完全に保護できないワークロード（コンテナなど）のデプロイメントにおけるセキュリティ強化策となります。例えば、クラウドネイティブのワークロードは通常、動的な IP アドレスを使用しているため、IP アドレスに基づいてルールを作成しても効果的ではありません。

マイクロセグメンテーションの仕組み

これまでは境界型セキュリティをネットワークに適用することが一般的でした。これらのセキュリティプロトコルやデバイスは、クライアントとサーバー間の通信や、外部からネットワークに送信されるデータ、または逆方向のデータの流れを監視します。以前は、ネットワーク内であれば全てが信頼され、データは慎重に監視されることなくワークロード間の横方向の移動も可能でした。

しかしながら、クラウドの普及に伴い、ほとんどのトラフィックが境界を越えてワークロード間でやり取りされることが増えており、境界型セキュリティに基づいた従来のアプローチでは、この横方向のトラフィックを十分に監視することが困難になっています。マイクロセグメンテーションは、そのようなワークロードを分離し、それぞれに異なるポリシーやルールを適用することで、2 つのワークロードがお互いのデータにアクセスできるかどうかを決定します。

IT 管理者は、ネットワーク上でワークロードを分離することで、ネットワーク内部からの境界攻撃とは対照的な横方向攻撃による被害を軽減または排除できます。すなわち、攻撃者が境界のセキュリティを突破できたとしても、サーバー間の攻撃からシステムを保護できます。

マイクロセグメンテーションのセキュリティ制御は通常、以下の 3 つの主要なカテゴリに分類されます。

ソフトウェアエージェントその他のエージェントベースのソリューション：IT 部門は、セグメント化されているワークロードやシステムをオーバーレイするソフトウェアエージェントを使用できます。ソリューションのなかには、ワークロードの属性を調べ、それらを分離する方法を決定するものがあります。他には、ワークロードに組み込まれたファイアウォールに依存するものもあります。
ネットワークベースの制御：ソフトウェア定義ネットワーク（SDN）、スイッチ、ロードバランサーなどの物理的または仮想的なネットワークインフラをベースにポリシーを作成し、適用します。
組み込みのクラウドの制御：このカテゴリでは、システムは AWS の Amazon Security Group や組み込みのファイアウォールなど、クラウドサービスのプロバイダーが提供するネイティブコントロールを活用します。

Nutanix とゼロトラストアーキテクチャ

ゼロトラストセキュリティとは

マイクロセグメンテーションのセキュリティ制御は、必要最小限の権限とゼロトラストアーキテクチャ（ZTA）の基盤に基づいています。ゼロトラストセキュリティモデルは、従来のセキュリティアプローチでは当たり前とされてきた暗黙の信頼を排除します。従来のセキュリティでは、ネットワークシステム内のユーザーに暗黙の信頼が置かれていましたが、現在の主流となっているゼロトラストの原則では、ユーザーに必要なシステム、情報、アプリケーションにのみアクセスを許可し、それ以外は隔離されます。これにより、異なるシステムやアプリケーション間で不要なデータの横移動が制限されます。

ゼロトラストモデルでは、組織のネットワークに入ったり、システムにサインインしたりしても、全てのリソースに自由にアクセスできるわけではありません。ユーザーは、システム内の特定のデータやアプリケーションにアクセスするために、常に認証され、許可される必要があります。

現在、ゼロトラストに基づくセキュリティアプローチは、ますます一般的になっています。その理由は、大きく分けて次の 3 つの要因が考えられます。1）あらゆる業界で深刻なデータ侵害が急増している。 2）近年、リモートワークやハイブリッドワークモデルへの移行が進んでいる。3）クラウドにリソースを移行することにより、これまでデータセンターによって明確に定義されていたセキュリティの境界線が拡散し消失している。実際に Gartner は、2025 年までに 60% の組織が従来のセキュリティ手法に代わって、ゼロトラストモデルを採用すると予測しています。

ゼロトラストとマイクロセグメンテーションの比較

多くの専門家はマイクロセグメンテーションをゼロトラストネットワークアクセス（ZTNA）と呼ばれる、ゼロトラストセキュリティの実践の中心技術であると考えています。この 2 つのセキュリティアプローチは密接に関連しています。実際、マイクロセグメンテーションはゼロトラストを実現するための手段です。ワークロードは、極めて詳細なレベルで分割されます。ゼロトラストの原則に従って、意図的または強制的な認証と承認なしには、誰もそれらのワークロードにアクセスできません。ワークロードが攻撃にさらされた場合でも、その脅威が他のワークロード、ユーザー、リソースに広がって影響を与えることがないため、組織に安心感をもたらします。

マイクロセグメンテーションのメリット

マイクロセグメンテーションにより、システム内における横方向の攻撃の脅威を軽減または防止できます。 IT 部門は、ワークロード保護に優先順位をつけるための知見を取得できます。また、次のことも可能になります。

攻撃対象領域の軽減

攻撃対象領域とは、何者かがネットワークに侵入できる可能性がある全てのポイントのことを指します。これらのポイントは攻撃ベクトルと呼ばれ、アプリケーション、API、パスワードやユーザー認証情報、暗号化されていないデータ、ユーザー自身など、あらゆるものが含まれる可能性があります。

マイクロセグメンテーションは、これらのポイントを互いに分離できるため、攻撃者はシステムに侵入しても、ネットワーク全体のごく一部にしかアクセスできなくなります。攻撃対象領域が各マイクロセグメントのサイズに縮小されているためです。

また、マイクロセグメンテーションにより、パフォーマンスに影響を与えたり、予期せぬダウンタイムを引き起こしたりすることなく、IT 部門は組織のネットワークをエンドツーエンドで詳細に把握できるようになります。アプリケーション開発者が開発中にセキュリティポリシーや制御を定義できるので、アプリケーションのデプロイメントや更新による新たな脆弱性の発生を防止できます。

セキュリティ侵害対策の強化

IT 部門やセキュリティチームは、マイクロセグメントと詳細なポリシーを使用することでネットワーク上を移動するデータをより効果的に監視できます。また、セキュリティチームは、より迅速かつ効率的に攻撃を特定し、脅威の緩和や攻撃への対応にかかる時間を短縮できます。マイクロセグメントは互いに分離されているため、攻撃が発生した場合でも被害が拡大することがなく、被害は攻撃された単一のマイクロセグメントに限定されます。つまり、攻撃が発生してもその攻撃が同じネットワーク内の他のシステムやデバイスに広がることなく、他の領域に影響が及ぶことはありません。

規制への対応の強化

規制されたデータを保護することは、重要度の低い情報を保護するよりも困難な場合があります。規制対象のデータを保存、アクセス、管理、使用する方法に関する多くのガイドラインを遵守する必要があるためです。マイクロセグメンテーションを利用することで、個々のワークロードに対してポリシーを作成し、実行できるため、データのアクセスや使用についてより細かく制御できるようになります。ポリシーを適用すること自体が、コンプライアンスに役立ち、他のワークロードから分離することでコンプライアンス要件をより確実に満たすことができます。

ポリシー管理の簡素化

マイクロセグメンテーションのソリューションのなかには、ポリシー管理を容易にするためのツールが組み込まれているものがあります。これらのソリューションは、ネットワーク上のアプリケーションを自動的に検出し、アプリケーションやシステムがどのように動作するかに応じて、さまざまなタイプやレベルのポリシーを推奨する機能によってポリシー管理の簡素化を実現します。

最も重要なワークロードの保護

一部のワークロードは、組織のビジネスにとって他のものよりも重要です。マイクロセグメンテーションのきめ細かな性質により、IT 部門はカスタマイズされたセキュリティポリシーや組織が定義した制御を作成することで、最も重要で価値のあるワークロードを最大限保護できます。

Nutanix のプライベートクラウドでセキュリティを強化

マイクロセグメンテーションの実装方法

ゼロトラストやマイクロセグメンテーションの普及に伴い、実装のベストプラクティスが出現しています。マイクロセグメンテーションの実装で重要になるのはプロセスの確立です。マイクロセグメンテーションを成功させるには、まずはプロセスの整備をする必要があります。

IT 部門における事前要件として、ネットワークセグメンテーションについての知識と経験を持っていることが前提となります。また、明確に定義されたセキュリティポリシーも重要です。このポリシーが、ネットワークリソースの区画分けの条件となります。

また、包括的な検出プロセスを経て、アプリケーションやネットワークのトラフィックフローを徹底的に可視化するには、ある程度の時間がかかるかもしれません。ネットワーク上で実行されているデバイス、アプリケーション、その他のワークロードを把握し、それぞれのデータフローを決定する必要があります。

ネットワーク内にどのようなワークロードがあるかがわかったところで、次は各ワークロードに何を許可するのかを決める必要があります。そうすることで、各マイクロセグメントの実際のポリシーを作成できます。

実際にマイクロセグメンテーションを行う場合のアドバイスとして、eSecurityPlanet の専門家は以下のような 4 つの主要なアプローチを説明しています。

ネットワークファブリック：ハードウェアとソフトウェアを垂直に統合することで、マイクロセグメンテーションされたインフラをよりタイムリーに可視化し、管理するためにネットワークファブリックを 2 倍に増やします。このアプローチは、データセンターの環境においてより効果的です。
ハイパーバイザー：ハイパーバイザー（仮想マシンマネージャー）は、ネットワークを介したデータトラフィックの執行ポイントにもなります。このアプローチにより、個々のマシンで更新プログラムを管理することや、ソフトウェアにパッチの適用などの面倒な作業が不要になります。
サードパーティーによるエンドポイント保護：組織によっては、エンドポイントの保護をサードパーティーのベンダーに委託することも選択肢の 1 つです。このアプローチはエージェントベースで、リアルタイムでポリシーを保護できます。
次世代ファイアウォール：最も高度な実装方法と考えられている次世代ファイアウォールは、アプリケーションの制御、侵入検知および防止、深層パケット検査など、堅牢な保護機能を提供します。従来、このアプローチはクラウドでの利用を想定していませんでしたが、現在ではファイアウォール・アズ・ア・サービス（FWaaS）を提供するベンダーもあります。

マイクロセグメンテーションのユースケース

ハイブリッドクラウドの管理：一貫したセキュリティ制御とポリシーを作成し、データセンターだけでなく、さまざまなクラウドプラットフォームでも強力な保護を受けることができます。
本番システムと開発システムの分離：マイクロセグメンテーションは、単に 2 つの環境を分離するだけでなく、より厳密に分離するためのポリシーの作成も可能にします。
秘密性の高いデータや資産に対するセキュリティの強化：組織内の悪意のある攻撃者による、秘密性の高い顧客情報や企業情報、知的財産などの「ソフト」資産への攻撃に対し、保護のレベルが向上します。
インシデントレスポンス：マイクロセグメンテーションは攻撃者のラテラルムーブメント（横方向の移動）を制限します。さらに、ほとんどのマイクロセグメンテーションソリューションにはログ機能が組み込まれているため、セキュリティチームは攻撃とそれに対するアクションを明確に把握できるようになります。

まとめ

クラウド技術の普及でビジネスの在り方が変化し続けるなか、クラウドセキュリティの仕組みを理解し、データやアプリケーション、システム、その他の資産を十分に保護するための適切なツールやプラクティスを見つけることがこれまで以上に重要になっています。

クラウドセキュリティの重要な要素の 1 つがマイクロセグメンテーションです。セキュリティに対するゼロトラストアプローチを可能にするマイクロセグメンテーションは、今後さらなる普及が予測できます。

Nutanix は、クラウド上でデータその他の資産を保護することの難しさと重要性をよく理解しており、ゼロトラストセキュリティモデルを採用しています。攻撃対象領域を減らし、変化する規制に準拠し、データ侵害への対応と防止を効率的に行うためのさまざまなソリューションを提供しています。

注目のリソース