マイクロセグメンテーションとは【用語集詳細】
マイクロセグメンテーション(Microsegmentation)は、内部ネットワークを複数のセグメントに分割し、リソースやプロセスのセグメント間トラフィックをモニタリング・制御するセキュリティ設計技術です。
マイクロセグメンテーションを通じて、ネットワーク管理者は最小特権の原則に基づきトラフィックを制限し、セキュリティ・ポリシーを細かくコントロールできるため、ネットワーク状況の可視性が向上します。また個々のネットワーク・セグメントを孤立させることで、攻撃者から見たアタック・サーフェスを減らし、ネットワーク全体の侵害や水平展開を防止する効果が期待できます。
マイクロセグメンテーションでは、ネットワークをセグメントに分割し、各要件に基づいて各セグメントにセキュリティ制御を適用します。
米国国立標準技術機構(NIST)が公開するガイドラインNIST SP800-215「セキュアな大規模ネットワーク環境のためのガイド(Guide to a Secure Enterprise Network Landscape)」では、マイクロセグメンテーション実装のための条件として以下を挙げています。
- アプリケーション(ワークロードあるいはサービス)ごとに固有のアイデンティティを付与する。
- アプリケーションIDを常に検証可能とし、なりすましを防止する。
- アプリケーションのリソース(サービスやネットワーク等)を検査・発見可能とする。
- 全てのアプリケーションおよびサービスをセキュリティ基準に沿ってグループ化し、セグメント化する。
- 論理上のアプリケーショングループに従って、物理・仮想インフラストラクチャが構成されるようにする。
マイクロセグメンテーションはまた、SDP(Software Defined Perimeter)(ソフトウェア定義の境界)とともにゼロトラスト・ネットワーク・アーキテクチャの基盤となります。
