- 会員限定
- 2023/02/06 掲載
マイクロセグメンテーションとは何かを解説 ゼロトラスト・SASEに必須の技術、その役割とは
記事をお気に入りリストに登録することができます。
近年、クラウドシフトの加速やテレワークの普及により、企業のセキュリティはオフィスと外部を境界で防御する従来の「境界型」から、すべての通信を信頼しないことを前提に対策する「ゼロトラスト」への転換が進んでいます。このゼロトラストを実現するために欠かせない技術が「マイクロセグメンテーション」です。今回はマイクロセグメンテーションとは何か、ガートナージャパン バイス プレジデント、アナリストの池田武史氏への取材をもとに解説します。
企業のITインフラに関してネットワーキングとコミュニケーションの観点を中心に、アナリストとして活動している。コミュニケーションの研究、ネットワーク・サービス・インフラの企画、データセンターおよびインターネット接続サービス、マネージド・サービスのプロダクト開発、ビジネス推進、ソフトウェア開発製品およびソフトウェア・プラットフォームのマーケティングなどITに関して幅広く活動してきた経験を基に、今後のITインフラの在り方に関する支援・助言を行っている。
大阪大学基礎工学研究科修士課程修了。情報処理学会会員、電子通信情報学会会員。
(Photo/Getty Images)
マイクロセグメンテーションとは何か?
ガートナーでは、マイクロセグメンテーションを次のように定義しています。
マイクロセグメンテーションとは、従来のネットワークセグメンテーションとは異なり、ワークロードのIDにひもづいた粒度の細かい動的なポリシーを作成するネットワークセキュリティ技術のこと。
これだけではちょっとわかりづらいと思うので、もう少し詳しくひも解いていきましょう。
世界的にサイバー攻撃が激化する中、企業はネットワークのユーザーIDをチェックしてアクセスを制御するIDaaS(IDentity as a Service)や、エンドポイントを監視するソリューションEDR(Endpoint Detection and Response)などを積極的に採用し、対策を講じています。
しかし、これらのセキュリティ対策は、IaaS(Infrastructure as a Service)、PaaS(Platform as a Service)などのクラウド、コンテナ、データセンターまで含むサーバファーム(サーバが蓄積されている場所)は対象ではありません。インターネット全体のセキュリティを高めるため、各種サービスやサーバファームへのアクセスを制御する仕組みが求められるのです。
こうした背景から必要とされるのがマイクロセグメンテーションです。
「マイクロセグメンテーションをわかりやすく説明すると、サーバへアクセスしようとするたびにエンドポイントの環境やユーザーを認証し、適切な権限の範囲でアクセスを許可し、その後のトランザクションも監視するという考え方のセキュリティです。認証によってきめ細かくトランザクションを制御するので、攻撃者が侵入できたとしても、早い段階で検知ができるため、攻撃が広がるのを防ぐ効果も期待できます。多数のセグメントに分割されたワークロードごとに、脅威や脆弱性、不用意なリスク拡大を抑え込むことができるのです」(池田氏)
マイクロセグメンテーションは、IDにひも付いたセグメンテーションであるため、「アイデンティティ(ID)ベースのセグメンテーション」と呼ばれることもあります。あるいはゼロトラストと関わりが深いので、「ゼロトラストネットワークセグメンテーション」などと呼ばれることもあります。
マイクロセグメンテーションの機能は、認証、暗号化、トラフィックの検査などが挙げられます。池田氏は次のように説明します。
「具体的には、怪しいパケットが混じっていたらアラートを上げる、パケットごとフィルタリングするといったアクションがあります。利用者の作業が終わったら、いったんトランザクションとコンセッションは終了し、次に作業する際は改めて認証からやり直します。セキュリティチェック、暗号化、トラフィックの検査の繰り返しが、マイクロセグメンテーションの機能です」(池田氏)
必要とされるようになった背景
これまでのネットワークセキュリティは、境界型のセキュリティゲートウェイに多くが委ねられていました。しかし、コロナ禍を機にテレワーク環境などが整備され始め、モバイル端末や自宅のPCからパブリッククラウド上のさまざまなインターネットとつながることが日常的になると、クラウドまで含めたセキュリティゲートウェイ、つまりSASE(Secure Access Service Edge)が必要とされるようになってきました。SASEとは、2019年にガートナーが提唱した次世代クラウドネットワークセキュリティの実現モデルです。
「SASEは包括的なネットワーク機能とクラウド型のセキュリティゲートウェイを組み合わせることによって、インターネットも含めたネットワーク上に新たな仮想的で動的なネットワークを構築します。この仕組みを実装するときに必要なのが、マイクロセグメンテーションと呼ばれる技術です」(池田氏)
つまり、SASEを構成する技術の1つが、マイクロセグメンテーションというわけです。ゼロトラストなセキュリティ対策としてSASEが認知・導入され始めているのと同時に、マイクロセグメンテーションという技術も注目を集めてきています。
(出典:ガートナー)
従来のマイクロセグメンテーションとの違い
マイクロセグメンテーションは新しい技術ではなく、2017~2018年ごろにも注目されていました。ガートナーが発表した2022年のセキュリティのハイプサイクルでは、マイクロセグメンテーションは幻滅期にあたります。
(出典:ガートナー)
しかし池田氏によると、現在、マイクロセグメンテーションは、5~6年前に注目されたころと比較すると適用範囲が広がってきていると言います。
「以前に注目されていたマイクロセグメンテーションは、今と違い、データセンター内のサーバ間のセグメンテーションにフォーカスしていました。複数のサーバにファイアウォールを入れる代わりに、ネットワーク仮想化の技術を使ってセグメントを細かく分けるというものでした。ネットワークを細かく刻むことによって、マルウェアが侵入した際、ウイルスの水平展開(ラテラルムーブメント)ができないようにするという考え方です。しかし、現在のマイクロセグメンテーションは、ユーザーやデバイスがサービス(アプリケーション)にアクセスする際のセキュリティに着目しています」(池田氏)
以前のマイクロセグメンテーションの防御範囲は、データセンター内のリソースだけを対象としていました。しかし、パンデミック発生後、防御範囲が内側だけではなく、外側のインターネットの世界まで広がっています。従来のセグメンテーション戦略の延長で対応するのでは運用が難しくなったため、マイクロセグメンテーションの適用範囲が拡大してきました。
【次ページ】ベンダー各社の動向、メリット、今後の市場の見通し
関連タグ
あなたの投稿
PR
PR
PR
