本文へジャンプします。

TOP
クラウド トップ>クラウドナビ>用語集>マイクロセグメンテーションとは

用語集

マイクロセグメンテーションとは

2020年3月13日


マイクロセグメンテーションとは

ネットワークを構成する最小の単位を「セグメント」と呼びます。例えば、家庭内のLANのように同一のサブネットに所属し、ルーターを介さずに直接通信できるネットワークの範囲が1つのセグメントになります。

ネットワークを複数の細かいセグメントに分割して構成することを「マイクロセグメンテーション」と呼びます。

マイクロセグメンテーションのメリット

ネットワークをマイクロセグメンテーション化するメリットは、セキュリティレベルを高められる点です。マイクロセグメンテーションは、特にゼロトラストネットワークの概念において、ネットワーク内部の「横移動」による被害を最小限に抑える重要な機能として位置づけられています。

マイクロセグメンテーションの考え方は、内部が細かい区画に分割されている船舶の構造とよく似ています。例えば、原油を運ぶタンカーはタンクを細かく分割することで、万が一、船体に損傷が発生したとしても、流出する原油を一部だけに制限できる構造になっています。マイクロセグメンテーションも同様でネットワーク内のサーバーがマルウェアに感染したり、悪意のあるユーザーによる不正アクセスを許してしまったとしても、細分化したセグメントの境界で不正な通信をブロックすることで、ほかのセグメントへの被害の拡散を防ぐことを目的としています。

しかし、セグメントの境界で通信をブロックするため、同一セグメント内での被害の拡散を防ぐことができません。そのため、被害を最小に抑えるには個々のセグメントを可能な限り小さく保つ必要があります。究極的には、サーバー1台ごとに固有のセグメントを用意するのが理想です。オンプレミス環境であれば、ファイアウォール機器の各ポートに(L2スイッチなどをカスケードせず)1台のサーバーのみを接続することで、そのサーバーのみが所属する最小のセグメントを作れます。とはいえ、オンプレミスでサーバー単位のマイクロセグメンテーションを実現するのは、煩雑化する機材管理の面から見ても、現実的ではないでしょう。

対して、クラウド環境では個々の仮想サーバーごとにファイアウォールを実装することで、マイクロセグメンテーションを実現できます。ファイアウォールによって、サーバー同士の通信を詳細にコントロールし、無関係のサーバーへのアクセスは禁止することで、マルウェアの拡散や情報漏洩の被害を最小に抑えます。

万が一の際の被害を最小に抑えるためにもネットワークを構成するセグメントは、可能な範囲で小さく保つのが有効です。ニフクラでは、マイクロセグメント単位で設定できる「ファイアウォール」の機能を無料で提供しています。機材やネットワーク配線といった物理層の管理を行う必要がないため、仮にサーバーの台数が増えても、オンプレミスのように管理が煩雑化することなく、簡単にネットワークのマイクロセグメント化が可能です。

  • このエントリーをはてなブックマークに追加