マイクロセグメンテーションとは、ネットワークセグメントを細分化し、セグメント間のトラフィックの可視化と制御を行うためのセキュリティ設計技術です。
従来のネットワークセグメンテーションでは、ネットワーク毎にファイアウォールを設置したり、VLAN等で境界を設けていましたが、マイクロセグメンテーションでは、ホスト単位(サーバ、PC、コンテナといったワークロード毎)で論理的に境界を設けます。攻撃者が企業の内部ネットワークへ侵入後に試みるラテラルムーブメントを抑止して、攻撃の成立・被害拡大を防止します。
「Zero Trust Architecture」を体系的に紹介している文書、NIST SP800-207によると、マイクロセグメンテーションは、ゼロトラストを実現するアプローチの1つとして紹介されており、ゼロトラスト・セグメンテーションとも呼ばれます。近年高度化するサイバー攻撃による被害が拡大しているランサムウェアおよび攻撃者のラテラルムーブメントを防止するソリューションとして注目を集めており、米国ではセキュリティに関する大統領令やFedRAMP(米国クラウドセキュリティ認証制度)に具体的対策として記載されています。
マイクロセグメンテーションを効率的に行うためには、IPやサブネットといった特定領域に限定される要素ではなく、場所に依存しないID (タグ、ラベルとも呼ばれる)を元に通信制御を行う必要があり、そのためのソリューションが登場してきています。
図:マイクロセグメンテーションのイメージ
※簡略化のため、図は実際のネットワーク構成とは異なります。
