マイクロセグメンテーションとは？【日本語翻訳】

本記事では、アメリカのサイバーセキュリティ企業 ColorTokens（カラートークンズ）社が発信しているセキュリティ情報（英文）を、日本の代理店である株式会社電巧社が許諾を得て日本語に翻訳・掲載しています。

※本記事は、掲載後に修正される可能性がございますので、ご了承ください
※過去の記事もアップしておりますので、現在の情報と異なる可能性がございます。
記事下の最終更新日をご参考ください

---

マイクロセグメンテーションは、セキュリティをできるだけ細かく分けることを目的としたセキュリティ手法です。

ネットワークを孤立したセグメントに分割し、各セグメントへのトラフィックを監視・制御できるようにすることで実現されます。

マイクロセグメンテーションの目的は、アタックサーフェスを最小限に抑えつつ、未承認のラテラルムーブメント（水平移動）を防止することです。

使用されるアプローチによっては、セキュリティエンジニアは、オンプレミス、クラウド、ハイブリッドネットワーク環境にまたがる環境、データセンター、アプリケーション、およびワークロードを分離させるためのセキュアゾーンを作成できます。

なぜ今日、マイクロセグメンテーションが重要なのか

2019年のPonemon Instituteによるデータ侵害のコストに関する調査によれば、データ侵害を特定と連絡にかかる平均時間は279日で、データ侵害の平均コストは392万ドルであるとされています。

これらの統計から、ハッカーがネットワークに侵入しても検出されずに長期間の滞在を可能にしていることが分かり、セキュリティに大きなギャップがあることを示しています。

セキュリティ侵害が成功する理由は多岐にわたり、脅威の状況の変化に起因します。

セキュリティの境界に城壁と堀を設置するような従来のアプローチは、境界を突破できる高度な脅威に対して効果がないことが繰り返し示されてきました。

企業がアプリケーションをクラウドに移行し、エコシステムパートナーにこれらのアプリケーションへのアクセスを提供する機会が増えるにつれて、セキュリティ専門家が境界を定義することすら難しくなっています。

境界型のアプローチは、脅威がネットワークの外部から発生するという前提に基づいているため、ほとんどの境界型セキュリティソリューション（IPS/IDS/Firewalls）は、外部（南北）のトラフィックに焦点を当てています。

しかし、ネットワークトラフィックの75％以上が内部（東西）またはサーバー間のトラフィックであり、これはセキュリティチームからはほとんど見えません。

既にネットワーク内部に侵入した脅威は、ラテラルムーブメントをして、数日または数ヶ月間検出されないまま留まる可能性があります。

マイクロセグメンテーションによる積極的なセキュリティの推進

マイクロセグメンテーションは、境界を突破し、検出されずにラテラルムーブメントする高度な脅威からデータセンターやアプリケーション、ワークロードを保護する必要性から進化しました。

また、ワークロードがより動的になり、クラウド上に広がり始めたことで、ネットワーク全体に一貫してセキュリティポリシーを適用することが不可能になってきました。

100％の侵害防止を主張するセキュリティソリューションは存在しませんが、マイクロセグメンテーションはセキュリティ専門家に、以前よりもはるかに迅速にサイバー脅威を発見、検出、封じ込め、防止に必要なツールを提供しています。

Gartnerは、2019年にCISO（最高情報セキュリティ責任者）がリスクを減少させ、ビジネスに大きな影響を与えるために焦点を当てるべきトップ10のセキュリティプロジェクトの1つとして、マイクロセグメンテーションを推奨しています。

マイクロセグメンテーションへのアプローチ方法

マイクロセグメンテーションは、実装に選択するネットワークレイヤーに基づいて、3つの異なるアプローチで取り組むことができます。

アプローチは異なるかもしれませんが、根本的な目標は同じーつまり、アクセスコントロールを導入しながら、攻撃対象を最小限に抑えることです。

ネットワークベースのマイクロセグメンテーション：

このアプローチは、VLANを使用してセグメントを作成し、ポリシーはIP構造やACLを使用して設定・実施します。

セグメンテーションファイアウォールは、より小規模なネットワークにも適用できます。

ただし、このアプローチを使用すると、ネットワークでボトルネックが発生し、複雑さが増加し、セグメンテーションの粒度が粗くなります。

ハイパーバイザーベースのマイクロセグメンテーション：

すべてのトラフィックがハイパーバイザーを通過する必要があるため、ハイパーバイザーを使用してワークロードを分離およびセグメント化することができます。

このアプローチはポリシーの実施をより迅速に行い、ハイパーバイザー自体のワークロード外でのポリシーを実施できる利点があります。

ただし、このアプローチにはベンダー固有の拘束力、プロセスの可視性の不足、ハイパーバイザーでサポートされるポリシーの数など、いくつかの欠点もあります。

ホストベースのマイクロセグメンテーション：

このアプローチは、ソフトウェア定義フレームワークを使用してマイクロセグメンテーションを実装した場合に可能となります。

ワークロードに組み込まれたネイティブファイアウォール機能を活用して、分散された細かいポリシーコントロールを提供します。

エージェントを使用することで、ホストベースのマイクロセグメンテーションはデータセンター、クラウド、ベアメタル、ハイブリッド環境全体に実装できます。

未来のマイクロセグメンテーションはホストベース

高度なサイバー脅威とクラウドの出現により、VLAN/ACL、スイッチ、ネットワークファイアウォールを使用した従来のマイクロセグメンテーションは不十分とされています。

なぜなら、このアプローチでは動的なハイブリッド環境においてアプリケーションやワークロードを保護することが難しいからです。

代わりに、組織はセキュリティの障壁を個々のホストまで下げることを検討すべきです。

これにより、既存のハードウェアインフラストラクチャを大幅に変更することなく、ホストベースのアプローチを採用したソフトウェア定義型マイクロセグメンテーションの実現が可能となります。

企業がますます複雑なサイバー脅威に対抗するために戦う中で、ソフトウェア定義型マイクロセグメンテーションは、可視性、ポリシーの簡素化、効率的なクラウド移行、コンプライアンスの保証、簡単な展開など、さまざまな重要な機能を提供します。

深い可視性

“可視性は、貴重な資産を守る鍵です。”
見えないものは守ることができません。

Dr. Chase Cunningham、Forrester™

セキュリティ専門家が直面する最大の課題の1つは、すべてのネットワーク通信に対する可視性、特に内部（東西）またはサーバー間のトラフィックであり、これがトラフィックの75％以上を占めています。

見えないものを守ることは、セキュリティ専門家が日々直面する課題の1つです。

ただし、ソフトウェア定義型マイクロセグメンテーションを使用することで、リアルタイムのトラフィック可視性により、接続が監視されないことはありません。

セキュリティチームは、オンプレミスまたはクラウドであろうと、任意の2つのアセット間のすべての通信経路を可視化できます。

可視性がより詳細になるにつれて、検出時間が大幅に短縮されます。

シンプルなセグメンテーションとポリシーの強制化

ユーザー、アプリケーション、ワークロード間の相互作用の可視性は、環境、重要度、コンプライアンス要件に基づいてネットワークを識別、セグメント化、分離することを容易にします。

マイクロセグメンテーションは、ネットワーク全体にわたるアプリケーションとワークロードの細かいセグメンテーションを可能にし、セキュリティポリシーをオーケストレーションして、セグメント化されたグループ内での通信を分離できます。

時間の経過と共に、セキュリティチームは通信パターンと振る舞いを分析し、このデータを活用してポリシーを積極的に微調整できます。

高速かつ安全なクラウド移行

適切なセキュリティ・ソリューションを導入せずにクラウドに移行することは、セキュリティ・リスクとなります。

サードパーティのクラウド・サービス・プロバイダーのほとんどは、共有セキュリティ・モデルで動作しているからです。

アプリケーションやワークロードがゾーンや複数のクラウドに分散しているため、トラフィックを監視・制御する能力が低下する。マイクロセグメンテーションにより、ITチームは、オンプレミス、1つのクラウドプラットフォーム、または複数のクラウドのいずれであっても、すべてのアプリケーション・ワークロードのネットワーク・トラフィックを可視化、監視、制御できるようになるため、企業はクラウドへの移行を加速できます

持続的なコンプライアンスの達成

監査はコストと時間がかかる作業であり、厳格なコンプライアンス要件を満たさない企業は重い罰金や制裁を受ける可能性があります。

マイクロセグメンテーションは、データセンター全体にわたる監査可能なセグメンテーションを示すことにより、監査の時間、コスト、範囲を大幅に削減し、監査プロセスを簡素化します。

また、テクノロジーの進化を考慮に入れたコンプライアンス基準の変更が続く中で、マイクロセグメンテーションは、複雑なネットワークアーキテクチャにおいてカードホルダーデータ環境の範囲を縮小する能力により、さらに重要性を増す可能性があります。

PCI-DSS 4.0のリリースがこれの典型的な例です。

導入が簡単

新しいセキュリティ・プロジェクトには必ず、導入という困難な課題がつきまといます

特に、すでに複雑なネットワークを扱っている場合はなおさらです。

しかし、Microsegmentationプロジェクトの場合、Software-Definedフレームワークは、既存のセキュリティおよびネットワーク・インフラストラクチャの上で仮想レイヤーのように機能します。

追加のハードウェア・オーバーヘッドやベンダーのロックインがないため、マイクロセグメンテーション・ソリューションの導入は、運用上簡単で迅速です。

マイクロセグメンテーションの要点

ネットワークが大規模化・複雑化するにつれ、一貫したセキュリティ体制を維持するためのトラフィックの監視とポリシーの実装は、セキュリティチームにとって課題となっています。

ソフトウェア定義のマイクロセグメンテーション・フレームワークにより、セキュリティ・チームは深い可視性を獲得し、ホスト・レベルまで細かくセグメンテーションし、分散した動的な環境でワークロードに追従するポリシーを適用することができます。

---

■公式サイト（日本語）

ColorTokens ゼロトラスト×マイクロセグメンテーション – 株式会社電巧社

■公式サイト（英語）

Be Breach Ready - ColorTokens

---

翻訳元記事
「What Is Micro-Segmentation?」

What Is Micro-Segmentation? | ColorTokens Zero Trust Cybersecurity - ColorTokens

#電巧社 #ゼロトラストセキュリティ情報局 #ColorTokens #ゼロトラスト #ゼロトラストセキュリティ #ゼロトラストアーキテクチャ #マイクロセグメンテーション #セキュリティ #サイバーセキュリティ #サイバー攻撃 #企業