マイクロセグメンテーション
概要
マイクロセグメンテーションは、セキュリティ技術の1つである。ネットワークセグメントを細分化し、各セグメントの中に許可されたデバイスやユーザーのみアクセスできるように制御し、脅威が他のセグメントへ横展開して被害を拡大することを防止する。
従来のセグメンテーションは、ファイアウォールやネットワーク機器などでネットワークのレベルでのセグメントを行い、その中のリソースやデータを保護する方式が主流だった。その後、SDNなど仮想化技術によって仮想マシン単位でセグメント化する技術としてマイクロセグメンテーションという言葉が使われ始めた。
さらに現在では、マイクロセグメンテーションはもはやネットワークという単位に依存せず、例えば個々のデバイスやユーザー、アプリケーション単位で動的にアクセス先を制御する技術として捉えられるようになっている。
これにより、セキュリティポリシーをより細かい粒度で調整できるようになるほか、例えば特定のシステムが攻撃されたとしても、マイクロセグメンテーションの考えでアクセス制御されていれば、攻撃が他のシステムに広がるのを防ぐことができる。
背景
マイクロセグメンテーションは、クラウド化やリモートワークが急速に広がる現代、より重要性を増している。企業のITシステムがオンプレやIaaS、SaaSなどさまざまな場所に存在するハイブリッド環境では、それらを一元的に管理することが難しく、「ネットワークで区切って守る」という手法だけでは、運用負荷の点から現実的でなくなったのだ。
さらに、アクセス元の端末においても、社内、モバイルデバイス、在宅勤務する従業員の自宅など多様化したことで、例えばIPアドレスベースなど事前に定義された静的な制御ポリシーだけでは、アクセスが適切なものか否かを正確に判定することが困難になった。
これは、ネットワークの内部・外部を問わず、ITリソースに対するすべてのアクセスを無条件に信頼せずに継続的に検証するというゼロトラストセキュリティにも通じる考えだ。
導入のメリット
マイクロセグメンテーションを導入する大きなメリットは、システムやアプリケーションの一部が攻撃を受けても他に横展開されないように影響範囲を最小限にとどめ、組織全体へ被害が拡大するリスクを大幅に軽減できることだ。
また、セグメント化されたリソース(ユーザーやアプリケーション、ワークロード)ごとにセキュリティポリシーを柔軟に設定できるため、さまざまな場所に散在する昨今の複雑化したITシステム環境でも、効率的に強固なセキュリティ運用を実現できる。
