ネットワークセグメンテーションとは
ネットワークセグメンテーションとは、攻撃対象領域を減らすために、エンタープライズネットワーク内のセグメントを分離および隔離するために使用される戦略です。
ただし、ユーザー数が爆発的に増え、アプリケーションとリソースが動的である今日のデータセンターを考えると、セキュリティ戦略では「城と堀」戦略よりも境界をリソースに近付ける必要があります。
ネットワークセグメンテーションは、アイデンティティと並び、NIST SP 800-207ゼロトラストフレームワークに基づくゼロトラストセキュリティ戦略において中核となる概念の一つです。
ネットワークのマクロ/マイクロセグメンテーション
従来のネットワークセグメンテーション(マクロセグメンテーションとも呼ばれます)は通常、内部ファイアウォールとVLANを使用して実現されています。マイクロセグメンテーションでは、境界とセキュリティ制御がリソース(ワークロードや3層アプリケーションなど)により近付けられ、安全なゾーンが作られています。ネットワークのマクロ/マイクロセグメンテーションは主に、データセンターの横方向のトラフィックを制限し、攻撃者によるラテラルムーブメントを阻止する/減速させるために実行されます。
ネットワークのマクロ/マイクロセグメンテーションは、次のようにして実現できます。
- ハードウェアファイアウォール(例:内部のセグメンテーションファイアウォール)- ゾーンまたはセグメントへのトラフィックフローはファイアウォールルールによって制御されます。
- VLANおよびアクセスコントロールリスト (ACL) - ネットワーク/サブネットへのアクセスをフィルターします。
- ソフトウェア定義の境界 (SDP) - 境界をホストに近付けて、仮想境界を提供します。ワークロードレベルできめ細かいポリシー制御を行えるようにします。
アイデンティティ保護戦略策定の完全ガイド
レジリエンスの高いアイデンティティセキュリティポスチャに向けた第一歩を踏み出し、アイデンティティ保護戦略策定の完全ガイドをダウンロードして、組織のデジタルアイデンティティ環境を今すぐ保護しましょう。
今すぐダウンロードネットワークのマクロセグメンテーションのアプローチ – 長所と短所
ファイアウォールルール、VLAN/ACL、VPNによって定義されたリソースアクセスポリシーは静的であり、内向きと外向きのトラフィックのみに着目します。これらのポリシーは柔軟性に欠け、動的なハイブリッド環境や、静的境界を越えた動的なセキュアアクセス要件に合わせて拡張したり、適応したりすることはできません。
| 長所 | 短所 |
|---|---|
| 最も古く、広く採用されているセグメンテーション手法の一つ。ゼロトラストよりも古い | VLANとファイアウォールによってネットワーク内に複数のチョークポイントが生じ、ネットワークのパフォーマンスと企業の生産性に悪影響を及ぼす(障壁が大きい) |
| 横方向および縦方向両方のトラフィックを制御するための使い慣れたハードウェアファイアウォール | 何千ものファイアウォールルールとVLAN/ACLがあるため、管理とセキュリティはすぐに悪夢となる(複雑で人的ミスが発生しやすい) |
| 拡張するにはハードウェアへの投資と人件費に多額の費用がかかる | |
| 複雑で、オンプレミスとクラウドを一元的に可視化できない | |
| オンプレミスで動作した機能がクラウドでは動作しない(可視性とセキュリティの欠如、大きな攻撃対象領域) | |
| きめ細かいポリシーを適用するには複雑すぎる。セキュリティコンテキストがない | |
| ポリシーに柔軟性がない。動的な環境やビジネスモデルの急な変更(リモートの従業員、合併と買収、売却など)に対応できない | |
| ベンダーロックインがオーバーヘッドになる |
ネットワークのマイクロセグメンテーションのアプローチ – 長所と短所
境界がリソースの近くに移動され、セキュリティ制御が個々のホストに適用されます。
| 長所 | 短所 |
|---|---|
| プラットフォームとインフラストラクチャが独立している | すべてのエンドポイント、ワークロード、またはハイパーバイザー/仮想マシンにエージェントが必要 |
| きめ細かいポリシーを使用するコンテキストベースのセキュリティ制御 | きめ細かいポリシーは利点だが、何千ものリソース、ユーザーグループ、ゾーン(マイクロセグメント)およびアプリケーションに対して膨大な数のポリシーを作成し、管理する必要があり、過剰な負担となる |
| 統合プラットフォーム | トラフィックの90%が暗号化されており、完全な可視性を得るためにリソースを大量に消費するSSL/TLS複合化が必要であり、処理要件が大幅に増大するため、このセグメンテーションを実装し、運用化するためのコストも劇的に増加する |
| 企業の生産性を損なわないようなポリシーを考えるにあたり、データセンターのアーキテクチャ全体(何が変更され、何が新規に追加され、何が不足しているのか)を完全に把握する必要がある(シナリオの例:リモートワークへの突然の移行、パンデミック後に従業員が職場に復帰したらどうなるか、アーキテクチャ/トポロジはどのように変化するか、ポリシーはどのような影響を受けるか、何が「新たに」不足しているのか) | |
| 脅威検知と防御が最小限であるか、存在しない。脅威インテリジェンス、検知、防御のためのツールや統合が別途必要な可能性がある |
マクロセグメンテーションでもマイクロセグメンテーションでも、ネットワーク中心のセグメンテーションアプローチには、明らかに長所と短所があります。ネットワークセグメンテーションには、多数の変動要因があります。ハードウェアファイアウォール、ソフトウェア定義の境界、マルチクラウドインフラストラクチャ用の追加の制御とツール、攻撃や進化する脅威の状況に対応するために管理および更新する必要がある複数のリソースアクセスポリシーなどです。
手法の変化:ネットワークセグメンテーションからアイデンティティセグメンテーションへ
ネットワークセグメンテーションにより攻撃対象領域が縮小されますが、この戦略はキルチェーンのアイデンティティフェーズにおける攻撃者のテクニックや戦術から防御するものではありません。コストや運用の複雑さを軽減しながら、リスクを最も低減することができるセグメンテーション手法がアイデンティティセグメンテーションです。
アイデンティティを保護することで、ランサムウェアやサプライチェーンの脅威といった、侵害された認証情報が主な要因となる最新の攻撃による侵害のリスクを大幅に低減することができます。IBMおよびPonemon Instituteによる「Cost of a Data Breach 2021 Report(2021年データ侵害のコストに関する調査)」によると、2021年の侵害の根本原因として最も多かったのが侵害されたまたは盗まれたユーザー認証情報であり、またその特定にかかった時間も最長(平均で250日)でした。
そこで、アイデンティティを分離してセグメント化することで、攻撃対象領域を大幅に縮小するクラウドストライクのアイデンティティセグメンテーションが役立ちます。侵害の大半でユーザー認証情報が利用されていることから、即時に価値を提供することができます。
アイデンティティセグメンテーションについてよく知らない場合
アイデンティティセグメンテーションとは何か、またアイデンティティセグメンテーションで行われないことは何かを学びましょう。また、以下のホワイトペーパーをダウンロードして、アイデンティティセグメンテーションとネットワークセグメンテーションの違いを確認してください。
ナレンドランは、CrowdStrikeのID保護およびゼロトラストの製品マーケティングディレクターです。同氏は、サイバーセキュリティのスタートアップ、およびHPやSolarWindsなどの大企業で製品マーケティングとGTM戦略の推進業務を17年以上努めてきました。以前は、CrowdStrikeが買収したPreempt Securityで製品マーケティングディレクターを務めていました。ナレンドランは、ドイツのキール大学でコンピューターサイエンスの修士号を取得しています。
