ネットワークセグメンテーション設計 ねっとわーくせぐめんてーしょんせっけい
セグメント分割VLANファイアウォールゼロトラストDMZアクセス制御
ネットワークセグメンテーション設計について教えて
簡単に言うとこんな感じ!
会社のネットワークを「経理エリア」「開発エリア」「来客Wi-Fiエリア」みたいに区画分けする設計のことだよ!もし一箇所がウイルスにやられても、他のエリアに広がりにくくなるんだ。火事の延焼を防ぐ「防火壁」みたいなイメージ!
ネットワークセグメンテーション設計とは
ネットワークセグメンテーション設計とは、企業や組織の社内ネットワークを複数の独立した区画(セグメント)に分割し、それぞれの区画間の通信をルールで制御するための設計手法です。「セグメント」とは、同じネットワーク上でひとまとまりに扱われる機器の集合を指します。
この設計の最大の目的は被害の局所化です。たとえばマルウェア(悪意あるソフトウェア)が社内の一台のPCに感染した場合でも、セグメントが分かれていれば隣のエリアへの横断移動(ラテラルムーブメント)を防ぎやすくなります。現代のサイバー攻撃は「侵入後にじわじわ広がる」手法が主流のため、この「食い止める壁」の設計が非常に重要です。
また、コンプライアンス対応の観点でも不可欠です。個人情報や決済情報を扱うシステムを他の業務システムから分離することで、PCI DSS(クレジットカード業界のセキュリティ基準)や個人情報保護法への対応がしやすくなります。
セグメント設計の基本構造と手法
代表的なセグメント分割の方法を整理します。
| 手法 | 概要 | 主な用途 |
|---|---|---|
| VLAN(仮想LAN) | スイッチの設定で論理的にネットワークを分離する | 部署ごとの分割、コスト重視 |
| サブネット分割 | IPアドレスの範囲で区画を区切る | 物理・論理両方の分割 |
| DMZ(非武装地帯) | インターネットと内部ネットワークの中間ゾーン | Webサーバー・メールサーバーの配置 |
| マイクロセグメンテーション | サーバー単位・アプリ単位で細かく分離する | クラウド・ゼロトラスト環境 |
| ファイアウォール分離 | 物理または仮想のファイアウォールで境界を作る | 重要系システムの隔離 |
セグメント設計の覚え方
「城(しろ)の構造」で覚えるとイメージしやすいです。
- 外堀(DMZ):外部からのアクセスを受け付ける最前線
- 内堀(内部ファイアウォール):部署や機能ごとに区切る壁
- 天守閣(重要資産ゾーン):経営情報・個人情報など最も守るべきもの
城は一枚の壁で守るのではなく、多重の堀と門で守ります。ネットワークも同じ発想です。
代表的なゾーン分類
[ インターネット ]
↓
[ DMZ(公開サーバー帯) ] ← Webサーバー、メールサーバー
↓
[ 内部ネットワーク境界(ファイアウォール) ]
↓
┌────────────┬────────────┬────────────┐
│ 業務PC帯 │ 開発・検証帯 │ サーバー帯 │
│(VLAN10) │ (VLAN20) │ (VLAN30) │
└────────────┴────────────┴────────────┘
↓
[ 重要資産ゾーン(DB・基幹系)] ← アクセス制限最強歴史と背景
- 1990年代:インターネット普及に伴い、企業が初めて「外部との接続」を意識。ファイアウォールによる外部・内部の2分割が主流に。
- 2000年代前半:VLANが普及し、部署ごとのネットワーク分割が一般化。スイッチングハブの低価格化が後押し。
- 2003年頃:SQLスラマー・MSブラストなどのワームが社内ネットワーク全体を一瞬で壊滅させる事例が多発。「内部も分割が必要」という認識が広まる。
- 2010年代:クラウド利用の拡大とともに、境界型セキュリティの限界が指摘される。「内部も信頼しない」ゼロトラストの概念が登場。
- 2017年:ランサムウェア「WannaCry」がセグメント未分割の病院・工場ネットワークを次々感染。セグメンテーション設計の重要性が世界的に再認識される。
- 2020年代:テレワーク普及・クラウド移行を背景に、マイクロセグメンテーションとゼロトラストアーキテクチャが設計の主流へ。
セグメント設計とゾーンの関係図
セグメンテーション設計では「どの区画が何を守るか」を明確にすることが重要です。代表的な3ゾーン構成と、各ゾーンで使われる技術の対応関係を図解します。
境界型セキュリティ vs ゼロトラスト型セグメンテーション
| 観点 | 従来の境界型 | ゼロトラスト型(現代) |
|---|---|---|
| 基本思想 | 内部は信頼する | すべて疑う |
| セグメント単位 | 部署・フロア単位 | アプリ・ユーザー・デバイス単位 |
| 認証方法 | ネットワーク位置で判断 | ID・デバイス状態で毎回認証 |
| 横断移動への対策 | 弱い(内部は自由) | 強い(常に検証) |
| 導入コスト | 低〜中 | 高(初期)・長期的には効率的 |
| 向いている環境 | オンプレ中心 | クラウド・テレワーク環境 |
関連する規格・RFC
| 規格・番号 | 内容 |
|---|---|
| RFC 4364 | BGP/MPLS IP VPN(セグメント間ルーティングの基礎技術) |
| RFC 7348 | VXLAN(クラウド・仮想環境向けのネットワーク分離技術) |
| IEEE 802.1Q | VLANタギングの標準規格(物理スイッチでのセグメント分割の基盤) |
| NIST SP 800-125B | マイクロセグメンテーションの設計ガイドライン(米国国立標準技術研究所) |
| PCI DSS v4.0 | クレジットカード情報を扱うネットワークのセグメント分離要件 |
関連用語
- VLAN — スイッチを使って論理的にネットワークを分割する技術
- ファイアウォール — セグメント間の通信を制御する関門となる機器・ソフトウェア
- DMZ — インターネットと内部ネットワークの間に設ける中間ゾーン
- ゼロトラストネットワーク — 「内部も信頼しない」を前提にしたセキュリティ設計思想
- マイクロセグメンテーション — サーバー・アプリ単位で細かくセグメントを分割する手法
- アクセス制御リスト(ACL) — セグメント間の通信許可・拒否ルールを定義するリスト
- ラテラルムーブメント — 攻撃者が侵入後に社内ネットワークを横断して広がる手法
- IPS/IDS — セグメント間の不正通信を検知・遮断する侵入検知・防止システム