マイクロセグメンテーションとは、社内ネットワークを細かい単位にまで切り分け、それぞれ独立して通信状況の管理を行う技術である。以前から用いられてきたセキュリティ手法である境界型セキュリティでは、VLANやファイアウォールを使用してネットワークの内外を区別してきた。

しかし、サイバー攻撃技術の進歩やクラウドの普及によって、いまや境界型セキュリティだけでは社内ネットワークのセキュリティ強化に限界が生じている。そこで注目されている概念がゼロトラストセキュリティであり、それを実現するための重要な技術がマイクロセグメンテーションである。

関連記事：ゼロトラストセキュリティの導入 リモートワーク時代の効果的なセキュリティ強化方法

マイクロセグメンテーションの仕組み

マイクロセグメンテーションの仕組みは、大きく分けて以下の三つである。場合によっては、NGFW（次世代ファイアウォール）でアプリケーションを識別し、より詳細なトラフィック分析を実施できる。

ここでは、マイクロセグメンテーションのメリット三点を紹介する。

セキュリティインシデントの被害を最小化できる

攻撃者がネットワーク内部に入り込んでも、マイクロセグメンテーションで横移動を制限すれば感染範囲を狭められる。なぜなら、マイクロセグメンテーションの各セグメントは独立しており、一部のセグメントが被害を受けても他の区画への影響を抑えられるためである。これにより、組織全体への被害拡大を防ぐことができる。

アクセスポリシーを細かに設定することで情報漏えいリスクを軽減

マイクロセグメンテーションでアプリケーションやワークロードごとに通信管理することにより、業務で必要な最小限の権限だけを与えることができる。ユーザーやデバイスに応じて異なるアクセスレベルを設けることで、情報漏えいのリスク軽減が可能となる。

ネットワークパフォーマンスの向上

マイクロセグメンテーションで不要なトラフィックをカットして、必要な通信経路だけを確保することにより、ネットワーク全体の処理を円滑化できる。ネットワークをリアルタイムで監視・制御することで、不正な通信を素早く発見して対処できるため、システムの安定稼働にもつながる。

ここではマイクロセグメンテーションの注意点について、以下の二点を解説する。

適切な運用管理が不可欠

マイクロセグメンテーションでは、ネットワークを細分化するため、各セグメントへのポリシー設定や定期的な見直しが不可欠だ。その際、専門知識に基づくラベルの設計やアクセス権限の管理が必須である。設定が不十分だと、業務停止やセキュリティインシデントの要因になる可能性がある。

生産性低下につながりかねない

マイクロセグメンテーションを実行するには、管理者はアクセス権限の付与・管理、作業者は権限の申請を行うなどこれまでになかった新しい手順が増える。これにより余計な作業負荷が生じ、組織全体の生産性にまで影響が生じかねない。

ここでは、マイクロセグメンテーションを成功させるポイントについて、以下の三点を解説する。

境界の明確化

まずはネットワークごとに境界線を決めて、情報の流れやアクセスできる範囲を見える化する。セキュリティ設計の初期段階から高精度で管理することにより、後々の運用にかかる負担を軽減できるであろう。

過不足ないアクセス権限設定

ネットワークの通信状況やユーザーの利用状況を把握して、必要最小限の権限だけを与えるように設計する。その際には、セキュリティレベルと管理者の負担から、最適な権限レベルを立案することがポイントとなる。

段階的な導入

最初から全社でマイクロセグメンテーションを導入するのは社内での負担が多すぎるため、最初は一部のネットワークやユーザーだけで実行することが望ましい。資産の重要性も考慮し、徐々にマイクロセグメンテーションを拡大していきながら、並行して効果検証と改善作業も不可欠となる。

マイクロセグメンテーションは、社内ネットワークを細かい単位にまで分け、それぞれ独立して通信状況の管理を行うことで、従来から用いられてきた境界型セキュリティだけでは防ぎ切れなかったセキュリティリスクにも対処できる。また、アクセスポリシーを細かく設定でき、セキュリティインシデントによる被害を最小化することも可能である。

自社のクライアントには、セキュリティリスクへの対策として、マイクロセグメンテーションの活用を提案してみるのもよいだろう。