攻撃者の「横移動」を抑え込め！マイクロセグメンテーション

はい、こんにちは。松井真也です。『ゼロトラスト用語辞典シリーズ』と題してブログを更新しております

今回のテーマは、「マイクロセグメンテーション」（Micro Segmentation）です！この仕組みは、「企業のネットワークの内側だって油断しません！」というゼロトラストの考え方を体現するものです。一体どういうものでしょうか？

早速見ていきましょう！

マイクロセグメンテーションとは？

マイクロセグメンテーションの概要を掴むことから始めますか！言葉を見る限り、「なんか細かく分割することなんだろうな…」と想像できますね。

マイクロセグメンテーションは、簡単に言えば、「ネットワーク内のリソースを細かく分割することで、セキュリティを強化しよう」という技術です。

ポイントは、「物理機器でなく、仮想化技術を使ってソフトウェア的に分割」という点です。

仮想化されたサーバ機を一台ずつ異なる区画に分離し、各サーバが他の機器との間に仮想的なファイアウォールを設けることで、サーバ内の仮想マシンが何らかの被害に遭っても、マルウェアの拡散や攻撃者の横展開（ラテラルムーブメント）を防げます。

一方、従来のネットワークセキュリティ対策は、どうだったでしょうか？インターネットとLANの間など異なるネットワークの境界にファイアウォール機器を設置し、ネットワーク単位で攻撃の検知や防御を行っていましたね。

しかし、内部の機器が乗っ取りやウイルス感染の被害に遭うと、内部からの攻撃に対して無防備になるという問題がありました…。

マイクロセグメンテーションは、この問題を解決するために開発されたものです。

よしここまでOK！

マイクロセグメンテーションが注目される背景

マイクロセグメンテーションは、2010年代初頭に仮想化技術が普及し始めた頃から、データセンターのセキュリティ強化に利用されてきました。

他方、近年では、一般企業でも、マイクロセグメンテーションが導入され始めています。それは、やはり「ゼロトラスト」アーキテクチャへの移行が背景にあります。

クラウドへの移行やテレワークの普及により、従来の「境界防御」では足りないという危機感があるのでしょうね。

製品の特徴

マイクロセグメンテーションは、大きく「エージェントを導入する」ものと、「エージェントを導入しないもの」があります。細かく見てみましょう。

１）エージェントベース

エージェントを導入する場合は、マイクロセグメンテーションは、コントローラとエージェントで構成されます。エージェントは、サーバなどにインストールされて使われます。このエージェントがグループを構成して、このグループ単位でポリシーが適用されます。

さらに、このエージェントがホストベースのファイアウォールとして機能する場合と、ホストOSのファイアウォールを利用して機能する場合があります。製品によっていろいろ異なるようです。

代表的な製品には、アカマイ・テクノロジーズの「Akamai Guardicore Segmentation」です（エージェントレスも選べるようですが）。ポリシーの定義や管理を直感的なGUIで、しかもAIも活用して行えるため、さらにテンプレートもあるので管理が容易です。

２）エージェントレス

エージェントを導入しない製品もあります。VMware vDefend Distributed Firewall (以前はVMware NSX Distributed Firewallと呼ばれていた。現在はVMware Cloud Foundationのアドオンとして利用できる)が代表的サービスです。

VMwareの仮想化環境を使っていることが前提ですが、エージェントの配布や管理が要らないのは助かりますね。

はい、本日はここまで。今回は「マイクロセグメンテーション」をご紹介しました。ハードウェアに依存する防御だけでは、柔軟さ迅速さに欠けるし、コスト面も不利ですから、ソフトウェア的な防御の重要性は増していますね！

では！