ようこそゲストさん

ビジネス+ITを始める

  • 会員限定
  • 2023/02/06 掲載

マイクロセグメンテーションとは何かを解説 ゼロトラスト・SASEに必須の技術、その役割とは

記事をお気に入りリストに登録することができます。
近年、クラウドシフトの加速やテレワークの普及により、企業のセキュリティはオフィスと外部を境界で防御する従来の「境界型」から、すべての通信を信頼しないことを前提に対策する「ゼロトラスト」への転換が進んでいます。このゼロトラストを実現するために欠かせない技術が「マイクロセグメンテーション」です。今回はマイクロセグメンテーションとは何か、ガートナージャパン バイス プレジデント、アナリストの池田武史氏への取材をもとに解説します。

監修:ガートナージャパン バイス プレジデント、アナリスト 池田武史

監修:ガートナージャパン バイス プレジデント、アナリスト 池田武史

企業のITインフラに関してネットワーキングとコミュニケーションの観点を中心に、アナリストとして活動している。コミュニケーションの研究、ネットワーク・サービス・インフラの企画、データセンターおよびインターネット接続サービス、マネージド・サービスのプロダクト開発、ビジネス推進、ソフトウェア開発製品およびソフトウェア・プラットフォームのマーケティングなどITに関して幅広く活動してきた経験を基に、今後のITインフラの在り方に関する支援・助言を行っている。
大阪大学基礎工学研究科修士課程修了。情報処理学会会員、電子通信情報学会会員。

photo
マイクロセグメンテーションとは何か
(Photo/Getty Images)
<目次>
  1. マイクロセグメンテーションとは何か?
  2. 必要とされるようになった背景
  3. 従来のマイクロセグメンテーションとの違い
  4. ベンダー各社の動向
  5. マイクロセグメンテーションが実現するメリット
  6. 今後の市場の見通し、将来予測

マイクロセグメンテーションとは何か?

 ガートナーでは、マイクロセグメンテーションを次のように定義しています。

マイクロセグメンテーションとは、従来のネットワークセグメンテーションとは異なり、ワークロードのIDにひもづいた粒度の細かい動的なポリシーを作成するネットワークセキュリティ技術のこと。

 これだけではちょっとわかりづらいと思うので、もう少し詳しくひも解いていきましょう。

 世界的にサイバー攻撃が激化する中、企業はネットワークのユーザーIDをチェックしてアクセスを制御するIDaaS(IDentity as a Service)や、エンドポイントを監視するソリューションEDR(Endpoint Detection and Response)などを積極的に採用し、対策を講じています。

 しかし、これらのセキュリティ対策は、IaaS(Infrastructure as a Service)、PaaS(Platform as a Service)などのクラウド、コンテナ、データセンターまで含むサーバファーム(サーバが蓄積されている場所)は対象ではありません。インターネット全体のセキュリティを高めるため、各種サービスやサーバファームへのアクセスを制御する仕組みが求められるのです。

 こうした背景から必要とされるのがマイクロセグメンテーションです。

「マイクロセグメンテーションをわかりやすく説明すると、サーバへアクセスしようとするたびにエンドポイントの環境やユーザーを認証し、適切な権限の範囲でアクセスを許可し、その後のトランザクションも監視するという考え方のセキュリティです。認証によってきめ細かくトランザクションを制御するので、攻撃者が侵入できたとしても、早い段階で検知ができるため、攻撃が広がるのを防ぐ効果も期待できます。多数のセグメントに分割されたワークロードごとに、脅威や脆弱性、不用意なリスク拡大を抑え込むことができるのです」(池田氏)

 マイクロセグメンテーションは、IDにひも付いたセグメンテーションであるため、「アイデンティティ(ID)ベースのセグメンテーション」と呼ばれることもあります。あるいはゼロトラストと関わりが深いので、「ゼロトラストネットワークセグメンテーション」などと呼ばれることもあります。

 マイクロセグメンテーションの機能は、認証、暗号化、トラフィックの検査などが挙げられます。池田氏は次のように説明します。

「具体的には、怪しいパケットが混じっていたらアラートを上げる、パケットごとフィルタリングするといったアクションがあります。利用者の作業が終わったら、いったんトランザクションとコンセッションは終了し、次に作業する際は改めて認証からやり直します。セキュリティチェック、暗号化、トラフィックの検査の繰り返しが、マイクロセグメンテーションの機能です」(池田氏)

必要とされるようになった背景

 これまでのネットワークセキュリティは、境界型のセキュリティゲートウェイに多くが委ねられていました。しかし、コロナ禍を機にテレワーク環境などが整備され始め、モバイル端末や自宅のPCからパブリッククラウド上のさまざまなインターネットとつながることが日常的になると、クラウドまで含めたセキュリティゲートウェイ、つまりSASE(Secure Access Service Edge)が必要とされるようになってきました。

 SASEとは、2019年にガートナーが提唱した次世代クラウドネットワークセキュリティの実現モデルです。

「SASEは包括的なネットワーク機能とクラウド型のセキュリティゲートウェイを組み合わせることによって、インターネットも含めたネットワーク上に新たな仮想的で動的なネットワークを構築します。この仕組みを実装するときに必要なのが、マイクロセグメンテーションと呼ばれる技術です」(池田氏)

 つまり、SASEを構成する技術の1つが、マイクロセグメンテーションというわけです。ゼロトラストなセキュリティ対策としてSASEが認知・導入され始めているのと同時に、マイクロセグメンテーションという技術も注目を集めてきています。

画像
デジタル時代に必要なアーキテクチャーの中核を担うSASE
(出典:ガートナー)

従来のマイクロセグメンテーションとの違い

 マイクロセグメンテーションは新しい技術ではなく、2017~2018年ごろにも注目されていました。ガートナーが発表した2022年のセキュリティのハイプサイクルでは、マイクロセグメンテーションは幻滅期にあたります。

画像
ハイプサイクルにおけるマイクロセグメンテーションの位置付け
(出典:ガートナー)

 しかし池田氏によると、現在、マイクロセグメンテーションは、5~6年前に注目されたころと比較すると適用範囲が広がってきていると言います。

「以前に注目されていたマイクロセグメンテーションは、今と違い、データセンター内のサーバ間のセグメンテーションにフォーカスしていました。複数のサーバにファイアウォールを入れる代わりに、ネットワーク仮想化の技術を使ってセグメントを細かく分けるというものでした。ネットワークを細かく刻むことによって、マルウェアが侵入した際、ウイルスの水平展開(ラテラルムーブメント)ができないようにするという考え方です。しかし、現在のマイクロセグメンテーションは、ユーザーやデバイスがサービス(アプリケーション)にアクセスする際のセキュリティに着目しています」(池田氏)

 以前のマイクロセグメンテーションの防御範囲は、データセンター内のリソースだけを対象としていました。しかし、パンデミック発生後、防御範囲が内側だけではなく、外側のインターネットの世界まで広がっています。従来のセグメンテーション戦略の延長で対応するのでは運用が難しくなったため、マイクロセグメンテーションの適用範囲が拡大してきました。

【次ページ】ベンダー各社の動向、メリット、今後の市場の見通し

関連タグ

あなたの投稿

関連コンテンツ

記事
セキュリティ総論

SASEとは何かをわかりやすく解説する ゼロトラストでセキュリティ・ネットワーク製品統合の意義とは

ITシステムが目まぐるしく変化する中、ネットワークセキュリティの未来として期待されているのが「SASE(Secure Access Service Edge:サシー)」と呼ばれるセキュリティモデルです。SASEとは「セキュアなアクセスをエッジで提供する」こと。これが登場した背景を紐解きつつ、SASEの機能とメリット、ゼロトラストとの違い、さらには導入効果が期待できる3つの企業タイプをラックの田原 祐介氏にわかりやすく解説してもらいます。

記事
セキュリティ総論

EDRとは何かをわかりやすく解説、製品比較・選定で押さえるべき5つのポイント

テレワークの普及によって、従業員が利用するPCやスマートフォンをはじめとするエンドポイントが狙われる危険性も高まっています。そこで注目を集めているのが、エンドポイントのセキュリティを守るEDR(Endpoint Detection and Response)です。そこで、ここではEDRの基本知識・市場規模、主要機能などについて解説するとともに、IDC Japan ソフトウェア&セキュリティ リサーチマネージャー赤間健一氏にEDR市場の動向や製品選定のポイントなどを聞くとともに、サイバーリーズンやマイクロソフト、クラウドストライクなどの代表的なツールベンダーの動向を合わせて紹介します。

記事
セキュリティ総論

止まらないランサム被害、“有効対策”EDRが「効かない理由」とその解決策

テレワークが広がり、社外でPCを使って業務するのが当たり前になった。そこで重要になったのが、エンドポイントのセキュリティ対策だ。従来のウイルス対策ソフトに加えて、侵入を前提にデバイス内の不審な挙動を監視・検知するEDRを導入する企業が増えた。ところが、EDRを入れたにもかかわらず「うまく運用できない」「あまり効果がない」という企業が少なくない。その原因と対策を解説する。

記事
セキュリティ総論

Application Guardを解説、分離環境でMicrosoft EdgeとOfficeアプリの保護を可能に

Windows 10およびWindows 11では、企業向けの高度なセキュリティ機能として、Microsoft Edgeを分離して害をもたらすマルウェア類からブラウジングを保護する「Microsoft Defender Application Guard」(旧称、Windows Defender Application Guard、WDAG)と、デスクトップ全体を分離して保護する「Windows Sandbox」が利用可能です。いずれもハイパーバイザーに依存する「仮想化ベースのセキュリティ(Virtualization-Based Security、VBS)」で実現されるセキュリティ機能ですが、前者にはOfficeアプリを分離する機能が2021年1月から利用可能になっていることをご存じでしょうか。

記事
セキュリティ総論

セキュリティ対策の「50:30:20」とは? 絶対知るべき「超キホン」を専門家が解説

企業が生き残るためには、DXを避けて通ることはできない。結果、従来のようにPCやサーバだけでなく、スマホ、各種クラウドやツール、アプリ、溜まったデータなど、いわゆるIT資産が爆発的に増えている状況だ。これらにセキュリティ対策を施す上で要(かなめ)となるのがIT資産管理だが、多くの企業で「軽視されがち」でもある。こうした状況に警鐘を鳴らすのが、セキュリティ専門家の守井 浩司 氏だ。

記事
セキュリティ総論

ダークウェブとは? 何が売買されてる?「ChatGPTアカウント」も人気の闇サイトの基本

情報漏えいなどで集められた個人情報は、ダークウェブに流れてサイバー犯罪に利用されるケースがある。昨今では、利用者が急増しているChatGPTの有料アカウントも多数売りに出されているのが現状だ。まさにダークウェブは世界の動きを映し出す鏡といえるだろう。こうした中、企業は情報セキュリティを守る上で、ダークウェブについての知識を習得して対策することが必須となってくる。そこで、本稿ではダークウェブの基礎を説明しつつ、ダークウェブを利用したサイバー犯罪や最新動向、基本的なセキュリティ対策について解説する。

記事
セキュリティ総論

選択肢がありすぎるランサムウェア対策、自社に“本当に必要”な対策の見抜き方

IPAが毎年発表しているレポート「情報セキュリティ10大脅威」では、ランサムウェアによる被害が3年連続で第1位になっている。セキュリティ対策の重要性に対する企業の意識は上がっているが、実際には被害が後を絶たない。それなりに企業の対策が進む中で、なぜランサムウェアなどの被害が減らないのだろうか。また、インシデントを未然に食い止める、あるいはセキュリティの被害を拡大させないようにするには、どのような考え方とアプローチで対処したら良いのだろうか。

記事
セキュリティ総論

CSIRT構築もインシデント対応に6割「自信なし」 絶対に後手にしてはいけない3要素とは

企業のセキュリティ・インシデントの増加に伴い、迅速かつ適切に対応するための組織「CSIRT(Computer Security Incident Response Team:シーサート)」の重要性が高まっている。しかし、セキュリティの対象範囲が年々広がるとともに、問題が複雑化する中で、自社でインシデント対応できるのかと不安を抱いている企業が多いのも現状だ。インシデント・レスポンスはなぜ難しいのか、その「漠然とした不安」を払拭するため、ガートナー シニアディレクター,アナリストの矢野薫氏が解説する。

イベント・セミナー
東京都
東京都

Security Management Conference Roadshow 2023 東京

緊迫する世界情勢、世界的なインフレ、コロナパンデミック明けの混乱など、ビジネスを取り巻く環境は不透明の度合いを増しています。セキュリティの現場においては働き方改革にともなうリモートワークのリスク対応、工場や取引先も含むサプライチェーンの脆弱性への対応、サイバー攻撃やランサムウェアなどの脅威への対応、ゼロトラストをベースとした対策の見直しなどが急務となっています。 当セミナーでは企業DXとセキュリティを取り巻く現状を整理し、2025年の崖を克服しデジタルシフトを実現するためのさまざまなセキュリティ課題解決方法を提供してまいります。
イベント・セミナー
オンライン
オンライン

DX・ハイブリッドワーク時代の SASE・クラウド セキュリティ2023 秋

新型コロナウイルスの影響や働き方改革の推進によって、業務基盤のクラウドシフトや、情報資産にアクセスするデバイスの多様化が急速に進んでいます。ネットワークの内外を境界によって区別し、主に外側からの攻撃から内側を防御することを主軸とする「ペリメタモデル(境界モデル)」では、侵入された後の境界内部での攻撃に対して脆弱(ぜいじゃく)であることが課題となっており、データやシステムへのアクセスのたびに常に確認を行うゼロトラストセキュリティが注目を集めています。こうした境界のないゼロトラスト環境において、ネットワークとセキュリティの機能をクラウドで包括的に提供するのがSASE(SecureAccess Service Edge)になります。当企画ではゼロトラストセキュリティを実現するSASEやセキュアなハイブリッドワーク環境実現ための様々な情報を提供してまいります。

イベント・セミナー
東京都
東京都

最新サイバー攻撃の現状とWebセキュリティ対策の実例

近年Webアプリケーションを狙う攻撃は多角化しています。特にWeb APIの普及により、Webサイトに外部のサイトが提供する機能や情報を組み込んだり、アプリケーションソフトからWeb上で公開されている機能や情報を利用したりと便利になる反面、サイバー攻撃の格好の標的となっています。 本セミナーではWeb攻撃の最新トレンドからWAAPを用いた対策、実例までをご紹介します。 Webアプリケーションが数多く動作するクラウド上のセキュリティ対策全般ついて、システムのコンサルティングから構築、導入、運用、保守まで、ITライフサイクルの全領域をカバーしたサービスを提供されている日立システムズ様よりお話頂き、実例においては、学校内の校務負担を軽減するフルクラウド統合型校務支援システムBLENDを提供されているモチベーションワークスより、どのようなセキュリティニーズがあり、どのような対策が有効なのかなどお話いただきます。 Webサーバ、サービスのご担当者様がセキュリティ対策をご検討される際の一助となれば幸いです。

    PR

    PR

    PR

処理に失敗しました

人気のタグ

おすすめユーザー

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

Media Open Sample

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます

Media Open Sample