ネットワークのセキュリティ、パフォーマンス、コンプライアンスの横断的な強化につながる「ネットワークセグメンテーション」とは、そもそも何なのか。メリットに加えて、導入に失敗しないための注意点を整理する。
サイバー攻撃のリスクにさらされる組織が、リスクを緩和して実害の発生を防ぐためには、何をすればよいのか。その有力な手段となり得るのが「ネットワークセグメンテーション」だ。米国の医療行政を統括する米保健福祉省(HHS)が2024年12月、医療情報保護の国家基準「HIPAA Security Rule」でネットワークセグメンテーションを必要項目に加える改定案を発表するなど、あらためてネットワークセグメンテーションが脚光を浴びている。
簡単にネットワークセグメンテーションを説明すると「ネットワークを論理的または物理的な小規模セクション(セグメント)に分割する手法」となる。ネットワークのセキュリティを強化し、データ転送速度などのパフォーマンスを向上させるための手段として、ネットワークセグメンテーションは役立つ。
ネットワークセグメンテーションは、各セグメントを独立したネットワークとして機能させる。データやシステムを別々のセキュリティゾーン(共通のセキュリティレベルを持つセグメント群)に分割できることから「侵入の影響を最小限に抑えるために役に立つ」と、医療機関向けセキュリティベンダーClearwater Security & ComplianceのCEO、スティーブ・ケイグル氏は説明する。
ユーザーに対して、ネットワーク全体を横断的に移動できる状態にすることは、そもそも組織にとって「望ましくない」とケイグル氏は指摘する。不正侵入やクレデンシャル(認証に必要な情報)流出を経験しているなど、セキュリティに不安がある組織の場合は、特にそうだという。ネットワークセグメントを導入した組織では、管理者が各セグメントに個別のポリシーを設定してトラフィック(送受信されるデータの量や流れ)を管理できるので、入り組んだネットワークであっても適切なセキュリティを確保しやすくなる。
ネットワークセグメンテーションを導入することで、組織は各部門が利用するネットワークを分離させたり、OT(産業・社会インフラの運用制御技術)システムとITシステムを切り離したりできるようになるとケイグル氏は説明する。同氏は医療機関における例として、臨床部門と管理部門の使用するネットワークを互いに切り離したり、HVAC(暖房、換気、空調)システムをITシステムから隔離したりといった使い方を挙げる。
組織のシステムがサイバー攻撃に脅かされる状況は、いまだに続く。こうした中、ネットワークセグメンテーションを活用し、サイバー攻撃の影響を特定のセグメントに封じ込めることができれば、組織はネットワークのセキュリティやパフォーマンスを向上させやすくなる。
ネットワークをセグメントに分割することには、セキュリティの観点で明らかなメリットがある。具体的なメリットとして、ケイグル氏は攻撃対象領域の縮小を挙げる。ネットワーク内の自由な移動(ラテラルムーブメント)が可能だと、攻撃者にとっては攻撃の成功や拡大をさせやすくなる。「たとえ不正侵入されたとしても、特定のセグメントに封じ込めることで、影響をはるかに小さく抑えられる可能性がある」(同氏)
セキュリティコントロールの最適化や効率化の観点からも、ネットワークセグメンテーションにはメリットがあるとケイグル氏は説明する。機密データを扱うセグメントなのかどうかに応じて、セキュリティ対策のレベルを上下させることが可能になることを、その理由として挙げる。例えば取り扱いに注意を要する患者のデータをやりとりするネットワークの場合、そうではないネットワークよりもセキュリティ対策を厳重にする、といった具合だ。
急速に被害が広がったサイバー攻撃の代表例が、ランサムウェア(身代金要求型マルウェア)攻撃だ。システムの脆弱(ぜいじゃく)性を突いたり、ユーザーアカウントを不正に取得・使用したりといったランサムウェア攻撃者の主要な手口に対して、影響範囲を限定できるネットワークセグメンテーションは「重要な役割を果たす」とケイグル氏は説明する。
Cisco Systemの公式ブログによると、例えばインターネットに接続された輸液ポンプなど、セキュリティ対策が難しいデバイスに有害なトラフィックを到達させないための手段として、ネットワークセグメンテーションが役立つ。コンプライアンス(法令・規則順守)の面でもメリットがある。機密データを扱うシステムが存在するネットワークを絞り込むことができれば、コンプライアンスに必要なセキュリティ対策の注力範囲を明確化しやすくなるからだ。
注意深く導入すれば、ネットワークセグメンテーションは組織のセキュリティ対策の強化につながる。
セキュリティ対策の変更や強化を目指すセキュリティ担当者は、予算、セキュリティ、業務プロセスへの影響を常に最優先で考える必要がある。「どのようなセキュリティ対策を導入する場合でも、まずそれが『どのように利用されるのか』『何のために導入するのか』を整理・理解する必要がある」とケイグル氏は語る。どのようなデータやユーザーが影響を受け、それぞれにどのような不便が生じるかも検討する必要があるという。
ネットワークセグメンテーションの導入では「誰がアクセスするのか」といった要件に基づいて、論理的にネットワークを分割する必要があるとケイグル氏は指摘。具体的な分割プロセスを検討する際には、効率性を考慮することが大切だと言い添える。「コストに関連する要素は、確実に検討しなければならない」(同)
ケイグル氏は、ネットワークセグメンテーションの導入は「容易ではない」と説明する。複数のレガシーシステムを抱えていたり、ネットワーク構成が複雑だったりする組織にとっては、特に導入が難しくなる可能性があるという。組織はネットワークセグメンテーションがもたらす価値を検討した上で、必要に応じて代替候補と比較検討することが欠かせない。
地方にある小規模の組織をはじめ、セキュリティ人材などのリソースに制約のある組織では、ネットワークセグメンテーションの導入がスムーズに進まない可能性がある。こうした組織ではセキュリティニーズを個別に評価して、取り組みの優先順位を付けることが不可欠だ。
優先順位を検討する上で「リスク分析は非常に重要だ」とケイグル氏は強調する。リスク分析を進める際は、セキュリティとコンプライアンスに関する、組織内のあらゆるニーズを考慮しながら検討することが必要だという。
要件によっては、ネットワークセグメンテーションではなく「マイクロセグメンテーション」が有力な選択肢となる。マイクロセグメンテーションは、ネットワークを複数に分割する点ではネットワークセグメンテーションと同様だ。ただし分割の精度は、マイクロセグメンテーションの方がはるかに高い。マイクロセグメンテーションでは、サーバやアプリケーションといった単位でネットワークを分割する。
ネットワークセグメンテーションは、ベストプラクティス(最善の対処法)とは限らないとしても「明らかにグッドプラクティス(優れた対処法)だ」と、ケイグル氏は話す。
Copyright © ITmedia, Inc. All Rights Reserved.
なぜクラウド全盛の今「メインフレーム」が再び脚光を浴びるのか
メインフレームを支える人材の高齢化が進み、企業の基幹IT運用に大きなリスクが迫っている。一方で、メインフレームは再評価の時を迎えている。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
