ネットワークセグメンテーション

ネットワークセグメンテーションとは

ネットワークセグメンテーションとは、ネットワークを複数の小さなセグメント (区画) に分割し、セグメント間の通信を制御するセキュリティ手法です。攻撃者がネットワーク内の 1 つのシステムに侵入しても、他のセグメントへの横展開 (ラテラルムーブメント) を防ぐことが主な目的です。

たとえば、Web サーバー、アプリケーションサーバー、データベースサーバーをそれぞれ別のセグメントに配置し、ファイアウォールで必要な通信のみを許可します。Web サーバーが侵害されても、攻撃者がデータベースに直接アクセスすることを防げます。

セグメンテーションの実装手法

• VLAN (Virtual LAN): レイヤー 2 でネットワークを論理的に分割する。同一物理スイッチ上でも異なる VLAN 間の通信はルーターまたはレイヤー 3 スイッチを経由するため、ACL でアクセス制御できる
• サブネット分割: IP アドレス空間をサブネットに分割し、ルーティングとセキュリティグループで通信を制御する。クラウド環境 (AWS VPC、Azure VNet) では、パブリックサブネットとプライベートサブネットの分離が基本設計
• ファイアウォールゾーン: DMZ (非武装地帯)、内部ネットワーク、管理ネットワークなどのゾーンを定義し、ゾーン間の通信をファイアウォールで制御する
• VPN による分離: リモートアクセスや拠点間接続を VPN で暗号化し、論理的に分離されたネットワークを構築する

クラウド環境では、セキュリティグループ (ステートフルフィルタリング) とネットワーク ACL (ステートレスフィルタリング) を組み合わせて多層的にセグメンテーションを実装します。

マイクロセグメンテーションとゼロトラスト

従来のセグメンテーションがネットワーク単位の粗い分割であるのに対し、マイクロセグメンテーションはワークロード (サーバー、コンテナ、プロセス) 単位できめ細かくアクセスを制御します。

ゼロトラストアーキテクチャの中核要素であり、「ネットワーク内部であっても信頼しない」という原則を技術的に実現します。具体的には以下のアプローチがあります。

• ソフトウェア定義のポリシー: ネットワーク機器ではなく、ソフトウェアエージェントやサービスメッシュ (Istio、Linkerd) でワークロード間の通信を制御する
• アイデンティティベースの制御: IP アドレスではなく、ワークロードのアイデンティティ (証明書、サービスアカウント) に基づいて通信を許可する。IP アドレスが動的に変わるクラウド環境に適している
• 暗号化された通信: セグメント間の通信を mTLS (相互 TLS) で暗号化し、盗聴と改ざんを防止する

IoT デバイスのように脆弱性対策が困難な機器は、専用のセグメントに隔離し、必要最小限の通信のみを許可することが特に重要です。

SDN ベースのセグメンテーションと次世代手法

SDN (Software-Defined Networking) は、ネットワークの制御プレーンとデータプレーンを分離し、ソフトウェアで一元的にネットワークポリシーを管理する技術です。従来の VLAN や ACL が個々の機器に設定を投入する方式であるのに対し、SDN ではコントローラーからネットワーク全体のセグメンテーションポリシーを動的に適用できます。

• ポリシーの自動適用: 新しいワークロードがデプロイされると、タグやラベルに基づいて適切なセグメントに自動配置される。手動での VLAN 割り当てやファイアウォールルール追加が不要になる
• 可視化と監査: SDN コントローラーがネットワーク全体の通信フローをリアルタイムで可視化する。どのセグメント間でどのような通信が発生しているかを把握でき、不審な通信パターンの検出に役立つ
• インテントベースネットワーキング: 「開発環境から本番データベースへのアクセスを禁止する」のようなビジネス意図 (インテント) を宣言すると、SDN コントローラーが必要なルールを自動生成する

AWS では VPC のセキュリティグループとネットワーク ACL が SDN の一形態であり、API 経由でプログラマティックにセグメンテーションを管理できます。Terraform や CloudFormation でインフラをコード化すれば、セグメンテーションポリシーもバージョン管理の対象になります。

導入事例と効果測定

ネットワークセグメンテーションの効果は、コンプライアンス要件の充足とインシデント被害の局所化の 2 つの観点で測定できます。

PCI DSS 準拠: クレジットカード情報を扱うシステムでは、PCI DSS がカードデータ環境 (CDE) をネットワーク上で分離することを要求しています。適切なセグメンテーションにより、PCI DSS の監査対象範囲を CDE のみに限定でき、監査コストと対応工数を大幅に削減できます。セグメンテーションなしでは、ネットワーク全体が監査対象になります。

ランサムウェア被害の封じ込め: フラットなネットワークでは、1 台の端末がランサムウェアに感染すると、SMB プロトコルなどを経由して数分以内にネットワーク全体に拡散します。セグメンテーションが適切に実装されていれば、感染は当該セグメント内に封じ込められ、他のセグメントの業務システムは稼働を継続できます。

効果測定の指標: セグメンテーションの有効性は以下の指標で評価します。

• ラテラルムーブメントの検出件数 (セグメント境界での不正通信ブロック数)
• インシデント発生時の影響範囲 (侵害されたセグメント数)
• セグメント間の不要な通信ルール数 (少ないほど最小権限の原則に近い)
• ポリシー変更のリードタイム (SDN 導入前後での比較)

よくある誤解

ファイアウォールを導入していればネットワークセグメンテーションは不要

ファイアウォールは境界防御の一要素ですが、フラットなネットワーク内部では攻撃者の横展開を防げません。ファイアウォールとセグメンテーションは補完関係にあり、セグメント間の通信制御にファイアウォールを活用するのが正しい設計です。

セグメンテーションを細かくすればするほどセキュリティが向上する

過度なセグメンテーションは運用の複雑さを増大させ、ルールの管理ミスによるセキュリティホールを生みます。業務要件とリスクに基づいて適切な粒度を選択し、管理可能な範囲でセグメンテーションを設計することが重要です。

従来型セグメンテーションとマイクロセグメンテーションの違い

関連用語

関連記事