用語集:サイバーセキュリティに関する用語と定義

マイクロセグメンテーションとは何か

マイクロセグメンテーションは、ネットワーク内に小さな特定のセキュリティ ゾーンを作成し、リソースへのアクセスを制限して、セキュリティを強化します。

さらに詳しく

マイクロセグメンテーションは、ネットワークを小さな個別のセグメントに分割してセキュリティを向上させるセキュリティ戦略です。各セグメントやワークロードは互いに分離されており、データ センタやクラウド導入環境に、個別に保護できる、より小さく安全なゾーンが作成されます。

マイクロセグメンテーションはワークロードとアプリケーションを分離することで、潜在的な攻撃対象領域を縮小し、セキュリティ侵害の影響を制限できます。また、マイクロセグメンテーションで管理者は、最小権限とゼロ トラストの原則に基づいてトラフィックを制限するセキュリティ ポリシーを管理することもできます。さらに、マイクロセグメンテーションにより、ネットワーク トラフィックの可視性が高まり、ネットワーク トラフィック フローをより適切に制御できるようになります。

マイクロセグメンテーションにおけるワークロード

ワークロードは、ネットワーク上で実行される計算や処理の単位であるため、マイクロセグメンテーションには欠かせない要素です。ワークロードはアプリケーションやサービス、プロセスであり、うまく機能するには互いに通信する必要があります。マイクロセグメンテーションでは、ワークロード レベルできめ細かいセキュリティ管理が可能になるため、組織は潜在的な脅威から特定のワークロードを分離して保護することができます。ワークロードをセグメント化することで、潜在的な攻撃対象領域を制限して、脅威の横方向の移動を防ぎ、ワークロードごとにセキュリティ ポリシーを適用できます。

マイクロセグメンテーションと境界セキュリティ

境界セキュリティまたはネットワーク セキュリティとマイクロセグメンテーションは2つの異なるセキュリティ戦略であり、それぞれがネットワーク セキュリティの別の側面に対処します。境界セキュリティは、外部ソースからネットワークへのアクセスを制限することでネットワークの外周(通常はネットワーク エッジ)を保護し、外部の脅威に対する最前線の防御策を提供します。セキュリティ境界を越えようとする「南北方向」(クライアントからサーバーへ)のトラフィックを検査し、悪意のあるトラフィックを阻止します。境界セキュリティは通常、ファイアウォール、侵入検知・防御システム、VPNなどのテクノロジで実現されます。

マイクロセグメンテーションは、ネットワークの内部セキュリティに注目し、ネットワークをより小さなセグメントまたはゾーンに分割して、各セグメントにきめ細かいセキュリティ管理を実施します。これにより、組織はネットワーク内の「東西」の横方向のトラフィックを制御し、アプリケーションまたはワークロード レベルで潜在的な攻撃対象領域を縮小することができます。

ネットワーク セグメンテーションの課題

マイクロセグメンテーションは、計画と実装が適切に行われないと、ネットワークのパフォーマンスとセキュリティに問題を生じる可能性があります。

  • パフォーマンスの低下。マイクロセグメンテーションにより、ネットワークの監視と管理がより複雑になりかねません。ネットワークのセグメント化が細かすぎたり、適用するセキュリティ ポリシーが多すぎたりすると、ネットワークのトラフィック パターンに影響を与え、ネットワークのパフォーマンスが低下する場合があります。セグメントごとにセキュリティ ポリシーを適用すると、ネットワークのオーバーヘッドが増加し、遅延やネットワーク パフォーマンスの低下につながります。
  • セキュリティのギャップ。マイクロセグメンテーションは強力なセキュリティ技術ですが、すべてのトラフィックが適切に選別され、許可/拒否されるようにするには、ポリシーを正しく構成する必要があります。構成ミスや一貫性のないポリシーを適用すると、セキュリティ ギャップ、正当なトラフィックのブロック、潜在的な脆弱性などが生じる可能性があります。

組織は、セグメントの数とサイズ、適用するセキュリティ ポリシー、ネットワーク トラフィック パターンへの影響などを含め、マイクロセグメンテーション戦略を慎重に計画しなければなりません。また、適切なテストと監視を実施して、マイクロセグメンテーションがネットワーク パフォーマンスに悪影響を与えたり、セキュリティ ギャップを引き起こしたりしないようにする必要があります。

マイクロセグメンテーションの仕組み

マイクロセグメンテーションにより、組織はネットワーク内に安全なゾーンまたはセグメントを作成し、ネットワーク トラフィックをきめ細かく制御して、攻撃対象領域を最小限に縮小することができます。各セグメントは、セグメント間で許可されたトラフィックのみが流れるように定義されたポリシーと制御を使用して保護されます。

マイクロセグメンテーションは通常、ソフトウェア定義ネットワーキング(SDN)を使用して実装され、物理的なネットワーク インフラストラクチャから独立した仮想ネットワークを構築できます。各ネットワーク セグメントは、セグメントに出入りするトラフィックのタイプを定義したポリシーを使用して保護されます。例えば、アクセス コントロール リスト(ACL)を使用すると、どのユーザーまたはデバイスに各セグメントへのアクセスを許可するかを制御できます。また、侵入検知・防御システム(IDPS)を使用すると、各セグメント内の悪意のある活動を検知してブロックできます。暗号化を使用すると、セグメント間を移動するデータを保護できます。

マイクロセグメンテーションにより、ネットワーク トラフィックをより細かく可視化し、制御することができるため、不正なトラフィックや潜在的なセキュリティ侵害を特定し、セキュリティ インシデントに迅速に対応することが容易になります。

マイクロセグメンテーションの制御には主に3つのタイプがあります。

エージェントベースのマイクロセグメンテーション制御は、サーバー、ワークステーション、その他のネットワーク デバイスなどのエンドポイントにインストールされたソフトウェア エージェントを使用して、ネットワーク セグメンテーション ポリシーを適用します。エージェントは、そのエンドポイントに固有のポリシーを継続的に監視および適用し、管理コンソールを通じて一元管理できるため、組織のネットワーク全体における構成と導入のポリシーが簡素化されます。

ネットワーク ベースのマイクロセグメンテーション制御は、SDNを使用して仮想ネットワーク セグメントを作成し、それぞれに独自のセキュリティ ポリシーと制御のセットが適用されます。これらの仮想セグメントは互いに分離されているため、攻撃者による横方向の移動の可能性が制限されます。ポリシーと制御は、エンドポイント レベルではなく、ネットワーク層で適用されます。これにより、ユーザーID、アプリケーションの種類、ネットワークの場所など、さまざまな要素に基づいてネットワーク トラフィックをセグメント化することが可能になります。

ネイティブ クラウドのマイクロセグメンテーション制御は、クラウド環境向けに特別に設計されています。これらは、ネットワーク セキュリティ グループや仮想プライベート クラウドなどのクラウドネイティブ セキュリティ機能を使用して、仮想ネットワーク セグメントを作成し、セキュリティ ポリシーを適用します。これらの制御では、クラウド プラットフォームのネイティブ セキュリティ機能を利用してきめ細かいセキュリティ ポリシーを提供し、これらのポリシーはすべてのクラウド インスタンスに自動的に適用されます。

マイクロセグメンテーションのタイプ

組織はそれぞれのニーズと目標に応じて、1つ以上のタイプのマイクロセグメンテーションを実装することができます。一般的なマイクロセグメンテーションのタイプには次のものがあります。

アプリケーション セグメンテーション

アプリケーション セグメンテーションは、データベース、API、Webサーバーなどの特定のアプリケーション リソースへのアクセスを制御するセキュリティ ポリシーを作成することで、個々のアプリケーションを保護し、不正アクセスやデータ侵害を防止します。また、これにより組織は、最小権限のアクセス制御を実施し、ユーザーとアプリケーションが特定の機能を実行するために必要なリソースにのみアクセスできるようにすることができます。

階層セグメンテーション

階層セグメンテーションは、Web層、アプリケーション層、データベース層などのアプリケーション スタックのさまざまな階層を保護し、攻撃者がアプリケーション スタック内で横方向に移動して機密データやリソースにアクセスするのを阻止します。

環境セグメンテーション

開発環境、テスト環境、実稼働環境など、ネットワーク内のさまざまな環境やゾーンを保護することで、組織はこれらの環境に対する厳格なアクセス制御を実施し、許可されたユーザーとアプリケーションだけが機密データやリソースにアクセスできるようにすることができます。

コンテナ セグメンテーション

コンテナ セグメンテーションは、コンテナ環境内の個々のコンテナまたはコンテナ群を保護し、攻撃対象領域を縮小して、攻撃者がコンテナ環境内で横方向に移動するのを防ぎます。適切にセグメント化しないと、コンテナが相互のデータや構成ファイルにアクセスする可能性があり、セキュリティ脆弱性を生じる可能性があります。

コンテナ セグメンテーションのベスト プラクティス

  • コンテナの分離。DockerやKubernetesなどのテクノロジを使用して、コンテナがホスト システムや同じシステム上の他のコンテナから確実に分離されるようにします。これにより、コンテナは指定された範囲外のリソースにアクセスできなくなります。
  • ネットワーク セグメンテーション。ネットワーク セグメンテーションを使用して、コンテナと他のネットワーク リソースの間の通信を制限します。これを行うには、コンテナごとに個別のネットワークを作成し、コンテナ間のトラフィックを許可または拒否するファイアウォール ルールを構成して、承認された通信のみが許可されるようにします。
  • ロールベースのアクセス制御。ロールベースのアクセス制御(RBAC)を実装して、承認されたユーザーのみがコンテナと関連リソースにアクセスして変更できるようにします。Kubernetes RBACのようなRBACフレームワークを実装して、ユーザーのロールと権限を定義し、適用することができます。
  • イメージ署名。信頼できるイメージのみがコンテナの作成に使用されるようにするために、イメージ署名を使用します。デジタル署名は、コンテナ イメージの改ざんや変更を防ぐのに役立ちます。
  • ランタイム保護。ランタイム保護を使用して、実行中のコンテナでセキュリティの脅威を検知して対処します。ランタイム セキュリティ エージェントや脆弱性スキャナなどのツールで、コンテナの侵害の兆候を監視し、適切な措置を講じてリスクを軽減することができます。

クラウド セキュリティにおけるユーザー セグメンテーション

  • RBACは、ユーザーの責任とアクセスの必要性に基づいて、ユーザーを特定のロールまたはグループに割り当てます。各ロールは、そのロールに適した一連の権限とアクセス制御に関連付けられています。RBACにより、ユーザーは業務に必要なリソースやデータのみにアクセスできるようになります。
  • 多要素認証(MFA)では、システムやアプリケーションへのアクセスをユーザーに許可する前に、2つ以上の形式の認証を提供するようユーザーに要求します。これには、パスワード、セキュリティ トークン、ワンタイム アクセス コード、生体認証データなどがあります。MFAは、特にRBACと組み合わせた場合に、クラウド リソースへの不正アクセスを防止するのに効果を発揮します。
  • 継続的に監視を行い、疑わしい行動や潜在的なセキュリティ脅威がないか、ユーザーの活動やシステム ログを定期的に分析します。ユーザーの通常のアクセス パターンや行動から外れた活動をセキュリティ チームに警告することで、異常な行動を特定するのに役立ちます。
  • 職務の分離は、重要なプロセスやシステムを1人のユーザーが完全に制御できないようにするものです。ユーザーを異なるロールと責任に分けることで、不正行為やエラーのリスクが軽減され、機密性の高い操作を複数の従業員で行うようにすることができます。
  • 定期的にアクセス レビューを行い、ユーザーが必要なリソースにのみアクセスできるように、システムやアプリケーションへのユーザー アクセスを定期的に評価します。アクセス レビューを行うと、不要なアクセス権を特定して削除し、不正アクセスのリスクを低減することができます。

マイクロセグメンテーションのメリット

マイクロセグメンテーションは、組織に次のような多くのメリットをもたらします。

  • 攻撃対象領域の縮小:マイクロセグメンテーションは、ネットワークをより小さなセグメントに分割して攻撃対象領域を縮小するため、攻撃者は重要な資産にアクセスすることが難しくなります。
  • 侵害の封じ込めの強化:侵害が発生した場合、マイクロセグメンテーションにより、攻撃者はネットワーク全体を移動することが難しくなるため、攻撃の影響を封じ込めることができます。マイクロセグメンテーションは、影響を受けるネットワーク エリアを分離することで、マルウェアやその他の悪意のある活動の拡散を防ぎ、侵害によって引き起こされる潜在的な損害を軽減します。
  • 規制遵守の強化:多くの規制の枠組みでは、機密データを保護するために強力なアクセス制御とセキュリティ対策を実装することを組織に求めています。マイクロセグメンテーションは、承認されたユーザーとアプリケーションのみが機密リソースにアクセスできるようにすることで、組織が規制基準の遵守を実証するのに役立ちます。
  • ポリシー管理の簡素化:マイクロセグメンテーションにより、セキュリティ ポリシーをネットワークの特定のセグメントに適用できるようになり、ポリシー管理が簡素化されます。これは特に、個々のデバイスやユーザーに対するポリシーの管理が難しくなりがちな、大規模なネットワークや複雑なネットワークで有用です。

マイクロセグメンテーションに関するFAQ

Q:ネットワーク セグメンテーションとマイクロセグメンテーションはどう違いますか?

A:ネットワーク セグメンテーションとマイクロセグメンテーションはどちらもネットワークのセキュリティとパフォーマンスを向上させますが、根本的に異なります。従来のネットワーク セグメンテーション(マクロセグメンテーションとも呼ばれる)では、機能や場所に基づいてネットワークをより大きなセグメントに分割します。一般的には、ネットワーク内外を「南北方向」に(クライアントからサーバーへ)移動するトラフィックに注目します。

マイクロセグメンテーションは、ネットワークをより小さなセグメントに分割し、そのセグメントに固有のセキュリティ ポリシーを適用することで、東西方向のネットワーク アクセスをより細かく制御し、ゼロトラストのアクセス制御を実施できます。マイクロセグメンテーションは、ネットワーク レベルではなく、個々のワークロードやアプリケーションのレベルでセキュリティ ポリシーを適用します。

Q:アプリケーションの依存関係とは何ですか?

A:アプリケーションの依存関係とは、ネットワーク環境内のさまざまなアプリケーションやサービス間の関係や相互作用を指します。あるアプリケーションやサービスへのアクセスを変更すると、他のアプリケーションやサービスのパフォーマンスやセキュリティに影響を与える可能性があるため、効果的なマイクロセグメンテーション戦略を策定するにはアプリケーションの依存関係を理解することが重要です。アプリケーションの依存関係は、マイクロセグメンテーションを実装する前に把握しておく必要があります。

Q:ファイアウォール ポリシーとは何ですか?

A:ファイアウォール ポリシーは、組織のファイアウォールがネットワークの異なるセグメント間、またはネットワークとインターネット間のトラフィックをどのように許可または拒否するかを定義するルールです。ファイアウォール ポリシーは、これらのセグメントとレイヤ間でトラフィックをどのように許可または拒否するかを決めるルールです。

Q:ファイアウォールはマイクロセグメンテーションとどう違いますか?

A:ファイアウォールは、事前定義されたルールに基づいてトラフィックを選別することで、ネットワークへのアクセスを制御します。ファイアウォールはセグメント間のアクセスを制御できるのに対し、マイクロセグメンテーションはネットワークをより小さなセグメントに分割し、各セグメントに固有のセキュリティ ポリシーを適用します。これにより、ネットワーク アクセスをより細かく制御し、特定のアプリケーションやサービスへのアクセスを制限することができます。

Q:仮想ネットワークとは何ですか?

A:仮想ネットワークは、物理的なネットワーク インフラストラクチャ内で動作しますが、ソフトウェアを使用して、保護されたネットワーク上でコンピュータ、VM、サーバーまたは仮想サーバーを接続します。これは、ハードウェアとケーブルでネットワーク システムに接続する従来の物理ネットワーク モデルとは異なります。仮想ネットワークを使用すると、大規模なネットワーク内に分離された環境を構築し、特定のアプリケーションやサービスをマイクロセグメント化することができます。

F5がお手伝いできること

マイクロセグメンテーションは、攻撃者が利用できる攻撃対象領域を制限するため、ネットワーク内のアプリケーションやデータを潜在的な脅威からより適切に保護するのに役立ちます。さらに、マイクロセグメンテーションにより、ネットワーク トラフィックの可視性と制御性が向上し、セキュリティ インシデントの特定と対応が容易になります。

F5は、組織がネットワーク内でマイクロセグメンテーションやその他のセキュリティ対策を実装し、管理するのに役立つ製品とサービスを提供しています。F5がパブリック クラウド、ハイブリッド クラウド、データ センタ、エッジ サイトにわたり、シンプルで安全な接続をどのように提供しているかをご覧ください。また、F5がアプリケーション層の安全なネットワーキングと自動化されたクラウド ネットワーク プロビジョニングを提供して、運用効率の向上にどのように貢献しているかもぜひご覧ください