• 2023/02/06 掲載

マイクロセグメンテーションとは何かを解説 ゼロトラスト・SASEに必須の技術、その役割とは

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
記事をお気に入りリストに登録することができます。
近年、クラウドシフトの加速やテレワークの普及により、企業のセキュリティはオフィスと外部を境界で防御する従来の「境界型」から、すべての通信を信頼しないことを前提に対策する「ゼロトラスト」への転換が進んでいます。このゼロトラストを実現するために欠かせない技術が「マイクロセグメンテーション」です。今回はマイクロセグメンテーションとは何か、ガートナージャパン バイス プレジデント、アナリストの池田武史氏への取材をもとに解説します。
監修:ガートナージャパン バイス プレジデント、アナリスト 池田武史

監修:ガートナージャパン バイス プレジデント、アナリスト 池田武史

企業のITインフラに関してネットワーキングとコミュニケーションの観点を中心に、アナリストとして活動している。コミュニケーションの研究、ネットワーク・サービス・インフラの企画、データセンターおよびインターネット接続サービス、マネージド・サービスのプロダクト開発、ビジネス推進、ソフトウェア開発製品およびソフトウェア・プラットフォームのマーケティングなどITに関して幅広く活動してきた経験を基に、今後のITインフラの在り方に関する支援・助言を行っている。
大阪大学基礎工学研究科修士課程修了。情報処理学会会員、電子通信情報学会会員。

photo
マイクロセグメンテーションとは何か
(Photo/Getty Images)

マイクロセグメンテーションとは何か?

 ガートナーでは、マイクロセグメンテーションを次のように定義しています。

マイクロセグメンテーションとは、従来のネットワークセグメンテーションとは異なり、ワークロードのIDにひもづいた粒度の細かい動的なポリシーを作成するネットワークセキュリティ技術のこと。

 これだけではちょっとわかりづらいと思うので、もう少し詳しくひも解いていきましょう。

 世界的にサイバー攻撃が激化する中、企業はネットワークのユーザーIDをチェックしてアクセスを制御するIDaaS(IDentity as a Service)や、エンドポイントを監視するソリューションEDR(Endpoint Detection and Response)などを積極的に採用し、対策を講じています。

 しかし、これらのセキュリティ対策は、IaaS(Infrastructure as a Service)、PaaS(Platform as a Service)などのクラウド、コンテナ、データセンターまで含むサーバファーム(サーバが蓄積されている場所)は対象ではありません。インターネット全体のセキュリティを高めるため、各種サービスやサーバファームへのアクセスを制御する仕組みが求められるのです。

 こうした背景から必要とされるのがマイクロセグメンテーションです。

「マイクロセグメンテーションをわかりやすく説明すると、サーバへアクセスしようとするたびにエンドポイントの環境やユーザーを認証し、適切な権限の範囲でアクセスを許可し、その後のトランザクションも監視するという考え方のセキュリティです。認証によってきめ細かくトランザクションを制御するので、攻撃者が侵入できたとしても、早い段階で検知ができるため、攻撃が広がるのを防ぐ効果も期待できます。多数のセグメントに分割されたワークロードごとに、脅威や脆弱性、不用意なリスク拡大を抑え込むことができるのです」(池田氏)

 マイクロセグメンテーションは、IDにひも付いたセグメンテーションであるため、「アイデンティティ(ID)ベースのセグメンテーション」と呼ばれることもあります。あるいはゼロトラストと関わりが深いので、「ゼロトラストネットワークセグメンテーション」などと呼ばれることもあります。

 マイクロセグメンテーションの機能は、認証、暗号化、トラフィックの検査などが挙げられます。池田氏は次のように説明します。

「具体的には、怪しいパケットが混じっていたらアラートを上げる、パケットごとフィルタリングするといったアクションがあります。利用者の作業が終わったら、いったんトランザクションとコンセッションは終了し、次に作業する際は改めて認証からやり直します。セキュリティチェック、暗号化、トラフィックの検査の繰り返しが、マイクロセグメンテーションの機能です」(池田氏)

必要とされるようになった背景

 これまでのネットワークセキュリティは、境界型のセキュリティゲートウェイに多くが委ねられていました。しかし、コロナ禍を機にテレワーク環境などが整備され始め、モバイル端末や自宅のPCからパブリッククラウド上のさまざまなインターネットとつながることが日常的になると、クラウドまで含めたセキュリティゲートウェイ、つまりSASE(Secure Access Service Edge)が必要とされるようになってきました。

 SASEとは、2019年にガートナーが提唱した次世代クラウドネットワークセキュリティの実現モデルです。

「SASEは包括的なネットワーク機能とクラウド型のセキュリティゲートウェイを組み合わせることによって、インターネットも含めたネットワーク上に新たな仮想的で動的なネットワークを構築します。この仕組みを実装するときに必要なのが、マイクロセグメンテーションと呼ばれる技術です」(池田氏)

 つまり、SASEを構成する技術の1つが、マイクロセグメンテーションというわけです。ゼロトラストなセキュリティ対策としてSASEが認知・導入され始めているのと同時に、マイクロセグメンテーションという技術も注目を集めてきています。

画像
デジタル時代に必要なアーキテクチャーの中核を担うSASE
(出典:ガートナー)


従来のマイクロセグメンテーションとの違い

 マイクロセグメンテーションは新しい技術ではなく、2017~2018年ごろにも注目されていました。ガートナーが発表した2022年のセキュリティのハイプサイクルでは、マイクロセグメンテーションは幻滅期にあたります。

画像
ハイプサイクルにおけるマイクロセグメンテーションの位置付け
(出典:ガートナー)

 しかし池田氏によると、現在、マイクロセグメンテーションは、5~6年前に注目されたころと比較すると適用範囲が広がってきていると言います。

「以前に注目されていたマイクロセグメンテーションは、今と違い、データセンター内のサーバ間のセグメンテーションにフォーカスしていました。複数のサーバにファイアウォールを入れる代わりに、ネットワーク仮想化の技術を使ってセグメントを細かく分けるというものでした。ネットワークを細かく刻むことによって、マルウェアが侵入した際、ウイルスの水平展開(ラテラルムーブメント)ができないようにするという考え方です。しかし、現在のマイクロセグメンテーションは、ユーザーやデバイスがサービス(アプリケーション)にアクセスする際のセキュリティに着目しています」(池田氏)

 以前のマイクロセグメンテーションの防御範囲は、データセンター内のリソースだけを対象としていました。しかし、パンデミック発生後、防御範囲が内側だけではなく、外側のインターネットの世界まで広がっています。従来のセグメンテーション戦略の延長で対応するのでは運用が難しくなったため、マイクロセグメンテーションの適用範囲が拡大してきました。

ベンダー各社の動向

 池田氏によると、「SASE自体はまだまだ発展途上のモデルだ」と言います。実際に現状のSASEは、SWG(セキュアWebゲートウェイ)、CASB、ZTNA(ゼロトラスト・ネットワーク・アクセス)など、さまざまなテクノロジーを組み合わせてようやく実現できる状態です。

画像
SASEのセキュリティの柱となるSSE(サービスセキュリティエッジ)の代表的なプレイヤー
(出典:ガートナー)

「マイクロセグメンテーションは、SASEを構成する重要なテクノロジーの1つです。ゼロトラストなネットワークソリューションの機能であるため、専業という位置付けのベンダーはなく、市場競争はいまだ混沌(こんとん)としている状態です」(池田氏)

 ゼロトラストソリューションを提供しているベンダーは必ずマイクロセグメンテーション技術を活用しており、池田氏は「クラウド提供型のゲートウェイサービスのテクノロジーにフォーカスした市場で定義するならば」と前置きした上で、以下の企業を代表的なプレイヤーとして挙げます(以下、アルファベット順)。

  • アカマイ・テクノロジーズ
  • ビットグラス
  • ブロードコム
  • ケイトー(Cato)
  • チェック・ポイントソフトウェア・テクノロジーズ
  • シスコシステムズ
  • マイクロソフト
  • ネットスコープ
  • パロアルトネットワークス

マイクロセグメンテーションが実現するメリット

 SASEは、インターネット全体にわたるアーキテクチャーなので関連するテクノロジーが多く、どのように導入を進めるべきか検討に苦慮している企業も多いことでしょう。

 しかし、従来の社内VPN経由でクラウドにつないでいくケースは、経路が複雑になったり、途中の通過点が多かったりと、通信に負担がかかります。特にタイムリーに音声や映像のパケットを運ばなければならないWeb会議では、音声が途切れたり、画像転送がスムーズにいかず、見づらかったりする恐れがあります。

 SASEのクラウド型のセキュリティゲートを使えば、社内に折り返さなくてもインターネットにつながるので、スムーズにクラウドサービスが利用できるというメリットにつながります。

 このため池田氏は、SASEはDX(デジタルトランスフォーメーション)に取り組む企業すべてが導入を検討すべき基本メカニズムの1つだと言います。

「SASEが必要とされる本当の背景は、DXです。これからのビジネスは、顧客であれ、パートナー企業であれ、インターネット経由でつながることが大前提でしょう。マイクロセグメンテーションを使ったSASEのアーキテクチャーがあれば、安心してデジタル世界でビジネスを広げていくことが可能となります」(池田氏)

今後の市場の見通し、将来予測

 ガートナーの推計によると、2025年の普及率は世界全体で約70%にのぼるだろうと見ています。

「SASEの観点から言うと、現時点でもグローバルで半数の企業に普及していると見ています。日本でも3割くらいあるのではないでしょうか。日本が新しいアーキテクチャーの導入に慎重な点を考えると、これは高い普及率だと思います」(池田氏)

 ただ、需要は旺盛なものの、高い導入コストが普及の壁となっています。特に現在の円安の動向次第では、普及スピードが鈍化することも考えられるでしょう。今後、ベンダー同士の競争が活発化し、もっと導入しやすい価格帯に下がることを期待したいところです。

「国内ではSASEやゼロトラストの導入が進んでおり、それらを実現する基本メカニズムの1つであるマイクロセグメンテーションは、引き続き注目度が高いため、今後ほとんどの企業が導入を視野に検討することになるでしょう」(池田氏)

 さらに詳しい内容は、ガートナージャパンの「2022年の展望:ネットワークとセキュリティの未来」でも池田氏が解説しています。興味がある方はご覧ください。

関連記事

関連タグ タグをフォローすると最新情報が表示されます

関連コンテンツ

あなたの投稿

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます