マイクロセグメンテーション まいくろせぐめんてーしょん
簡単に言うとこんな感じ!
社内ネットワークを「超細かく仕切る」技術だよ。泥棒が一部屋に入っても他の部屋には鍵がかかってる状態にするイメージ。万が一ハッカーが侵入しても、被害が広がらないようにする仕組みなんだ!
マイクロセグメンテーションとは
マイクロセグメンテーションとは、社内ネットワークやデータセンターを、ワークロード(サーバーやアプリ)単位で細かく分割し、それぞれの通信をきめ細かく制御するセキュリティ技術です。従来の「社内は安全・社外は危険」という考え方とは異なり、内部のあらゆる通信も疑って管理します。
従来型のネットワーク分割(セグメンテーション)では、部門ごとや用途ごとに大きな単位でネットワークを分けていました。しかしマイクロセグメンテーションでは、サーバー1台・アプリ1つ・コンテナ1個といった粒度まで通信を制限します。これにより攻撃者が社内に侵入しても、横方向への移動(ラテラルムーブメント)を阻止し、被害の拡大を最小限に抑えられます。
ゼロトラストセキュリティの中核を担う技術の一つであり、クラウド環境やリモートワークが当たり前になった現代において、特に重要性が増しています。「とりあえず社内LANにつながれば安心」という時代は終わり、マイクロセグメンテーションはその現実に向き合うための実装手段です。
マイクロセグメンテーションの仕組みと構造
ネットワークを「どの粒度」で分割するかが従来技術との最大の違いです。
| 比較項目 | 従来のセグメンテーション | マイクロセグメンテーション |
|---|---|---|
| 分割単位 | 部門・フロア・VLANなど大きな単位 | サーバー・アプリ・コンテナ単位 |
| 制御方式 | 境界ファイアウォール中心 | ソフトウェアによるポリシーベース |
| 内部通信の扱い | 基本的に自由(信頼) | すべて検査・制御 |
| 柔軟性 | 変更に時間がかかる | ソフトウェアで素早く変更可 |
| 主な用途 | 外部からの侵入防止 | 内部拡散の阻止 |
「部屋の鍵」で覚えよう
マイクロセグメンテーションは「ホテルの部屋のカードキー」に例えるとわかりやすいです。ホテルに入れても(社内ネットワークに接続できても)、自分の部屋以外のドアは開かない。泥棒がロビーに入り込んでも全室荒らせない、まさにその構造です。
主な実装アプローチ
- エージェントベース: 各サーバーにソフトウェアをインストールし、通信を制御
- ハイパーバイザーベース: 仮想化基盤(VMwareなど)のレベルで制御
- クラウドネイティブ: AWSのセキュリティグループ・Azure NSGなどクラウド機能を活用
- SDN(ソフトウェア定義ネットワーク)ベース: ネットワーク機器をソフトウェアで一元制御
歴史と背景
- 2000年代前半: 「境界防御モデル」が主流。社内ネットワーク=安全という前提で設計
- 2010年: John Kindervag(ジョン・キンダーバーグ)がゼロトラストモデルを提唱。内部も信頼しない考え方が登場
- 2013年頃: VMwareなどの仮想化ベンダーがマイクロセグメンテーションの概念を製品化し始める
- 2016年: Gartnerがマイクロセグメンテーションをハイプサイクルの注目技術として取り上げる
- 2017〜2018年: ランサムウェア「WannaCry」「NotPetya」による被害が世界規模で拡大。内部拡散対策の重要性が急浮上
- 2020年〜: コロナ禍によるリモートワーク普及・クラウド移行加速で、ゼロトラスト+マイクロセグメンテーションの導入が急増
- 2021年: 米国政府がゼロトラストアーキテクチャの採用を大統領令で義務付け。マイクロセグメンテーションが事実上の標準手法に
従来のネットワーク防御との比較
従来の境界防御(ペリメーターセキュリティ)とマイクロセグメンテーションでは、侵入後の挙動が大きく異なります。
マイクロセグメンテーションの通信ポリシーの考え方
通信を「許可するものだけリスト化」するアプローチ(ホワイトリスト方式)が基本です。
【ポリシー例】
Webサーバー → DBサーバー:ポート3306のみ許可
Webサーバー → ファイルサーバー:アクセス禁止
DBサーバー → 外部インターネット:アクセス禁止
業務APL → 認証サーバー:ポート636(LDAPS)のみ許可
メールサーバー → その他内部サーバー:アクセス禁止
※ 上記以外の通信はすべて「暗黙の拒否」実務での導入ポイント
マイクロセグメンテーションを発注・導入する際に確認すべき観点を整理します。
| 確認項目 | 内容 |
|---|---|
| 現状の通信把握 | まず「今どのサーバーがどこと通信しているか」を可視化する必要がある |
| 段階的導入 | 最初はすべての通信を観察(学習モード)し、ポリシーを徐々に絞り込む |
| クラウド対応 | AWSやAzureでは標準機能(セキュリティグループ・NSG)を活用可能 |
| 運用コスト | ポリシーの維持管理に工数がかかるため、自動化ツールの検討が重要 |
| 製品選択 | Illumio、VMware NSX、Cisco Tetration、Zscalerなど専門製品が存在 |
発注者が押さえるべき一言ポイント: 「ゼロトラストを進めるにあたり、マイクロセグメンテーションを含む提案をしてください。段階的なPoC(概念実証)から始めたいです」と伝えるのが実践的です。
関連用語
- ゼロトラスト — 「社内ネットワークも信頼しない」という現代セキュリティの基本思想
- ラテラルムーブメント — 侵入後に攻撃者が内部を横移動して被害を拡大する手法
- ファイアウォール — 通信の許可・拒否を制御するネットワークの関門
- VLAN — ネットワークを論理的に分割する従来型の技術
- SDN(ソフトウェア定義ネットワーク) — ネットワークをソフトウェアで柔軟に制御する技術
- ゼロトラストネットワークアクセス(ZTNA) — ゼロトラストの考え方をアクセス制御に実装した仕組み
- エンドポイントセキュリティ — PCやサーバーなど末端機器を守るセキュリティ対策
- ランサムウェア — データを暗号化して身代金を要求する悪意あるプログラム