Overview
マイクロセグメンテーション(Microsegmentation)とは、データセンターやクラウド環境のネットワークを極めて細かい単位(ワークロード単位、アプリケーション単位、さらにはプロセス単位)に分割し、各セグメント間の通信をきめ細かく制御するセキュリティ手法です。従来のネットワークセグメンテーションがVLANやサブネット単位で境界を設けるのに対し、マイクロセグメンテーションは個々のワークロードレベルでポリシーを適用し、東西トラフィック(East-West Traffic)と呼ばれるデータセンター内部の通信を精密に制御します。
クラウド環境では、仮想マシンやコンテナが動的に生成・削除されるため、IPアドレスベースの従来型ファイアウォールでは十分な保護が困難です。マイクロセグメンテーションは、ワークロードの属性(アプリケーション名、環境ラベル、セキュリティタグなど)に基づいてポリシーを定義するため、インフラの変化に柔軟に追従できます。これはゼロトラストアーキテクチャの中核的な実装技術の一つです。
マイクロセグメンテーションを導入することで、仮に攻撃者がネットワーク内部に侵入しても、ラテラルムーブメント(横方向の移動)を大幅に制限できます。各ワークロードが許可された通信のみを行うため、侵害の影響範囲を最小化し、攻撃者が重要資産に到達することを困難にします。
Details
従来型セグメンテーションとの違い
従来のネットワークセグメンテーションは、ファイアウォールやルーターを使用してVLAN・サブネット単位でネットワークを分離する手法です。この方式では南北トラフィック(North-South Traffic)、すなわちネットワーク境界を通過する通信の制御には有効ですが、同一セグメント内の通信(東西トラフィック)は制御できません。攻撃者が一つのサーバーを侵害すると、同一セグメント内の他のサーバーに自由にアクセスできてしまいます。
マイクロセグメンテーションはこの課題を解決し、ワークロード単位でセキュリティポリシーを適用します。Webサーバー、アプリケーションサーバー、データベースサーバーが同一サブネットに存在していても、それぞれの間の通信を個別に制御できます。
実装アプローチ
マイクロセグメンテーションの実装方式は主に3つに分類されます。
- ホストベースエージェント方式:各ワークロード(VM・コンテナ・ベアメタル)にエージェントをインストールし、OSのファイアウォール機能(iptables/nftables/Windows Firewall)を制御してポリシーを適用する方式。インフラに依存せず、クラウド・オンプレミス・ハイブリッド環境に対応可能
- ネットワークベース方式:SDN(Software-Defined Networking)やクラウドプロバイダーのセキュリティグループ・NSG(Network Security Group)を活用してセグメンテーションを実現する方式。エージェント不要だが、クラウドプロバイダー固有の制約を受ける
- ハイパーバイザーベース方式:VMware NSXなどの仮想化プラットフォームの分散ファイアウォール機能を利用し、ハイパーバイザーレベルでトラフィックを制御する方式。仮想環境に特化し、高いパフォーマンスを実現
ポリシー設計とラベリング
マイクロセグメンテーションの効果を最大化するには、適切なラベリング(タグ付け)戦略が不可欠です。一般的なラベル体系として、アプリケーション名(例:payment-service)、環境(例:production/staging/development)、役割(例:web/app/db)、データ分類(例:confidential/internal/public)などが使用されます。
ポリシーはこれらのラベルの組み合わせで定義され、例えば「payment-serviceのwebロールからappロールへのHTTPS通信のみ許可」といった形で記述します。IPアドレスではなくラベルでポリシーを定義することで、オートスケーリングやコンテナの再配置にも自動的に対応できます。
Kubernetesにおけるマイクロセグメンテーション
Kubernetes環境では、NetworkPolicyリソースを使用してPod間の通信を制御できます。NetworkPolicyはラベルセレクターに基づいてIngress(受信)とEgress(送信)のルールを定義し、許可されていないPod間の通信をブロックします。
ただし、Kubernetes標準のNetworkPolicyはL3/L4レベル(IP/ポート)の制御に限定されるため、L7レベル(HTTP URL、gRPCメソッドなど)の制御が必要な場合は、Cilium、Calico、IstioなどのサービスメッシュやCNIプラグインを併用することで、より精細なポリシー適用が可能になります。
可視化とトラフィック分析
マイクロセグメンテーションの導入に先立ち、現在のトラフィックフローを正確に把握することが重要です。多くのマイクロセグメンテーション製品は、ワークロード間の通信を自動的にマッピングし、アプリケーション依存関係マップを生成する機能を備えています。これにより、意図しない通信の遮断(アプリケーション障害の原因)を防ぎながら、段階的にポリシーを適用できます。
Security Measures
- 01最小権限の原則に基づくポリシー設計:すべてのワークロード間通信をデフォルトで拒否(Default Deny)し、業務上必要な通信のみを明示的に許可するホワイトリスト方式を採用してください。許可ルールは必要最小限のポート・プロトコルに限定し、過剰な許可を避けましょう。
- 02段階的な導入とモニタリングモードの活用:本番環境への適用前に、まずモニタリングモード(監視のみでブロックしない)でポリシーを適用し、意図しない通信遮断がないか十分に検証してください。トラフィックフローの可視化ツールを活用し、アプリケーション依存関係を正確に把握しましょう。
- 03一貫したラベリング戦略の策定と維持:ワークロードへのラベル付けは組織全体で統一された命名規則に従い、自動化パイプライン(CI/CD)に組み込んで人的ミスを防止してください。ラベルの正確性がポリシーの有効性を直接左右します。
- 04ポリシーのバージョン管理と変更監査:セグメンテーションポリシーをコード化(Policy as Code)し、Gitなどのバージョン管理システムで管理してください。ポリシーの変更履歴を追跡可能にし、誰がいつどのような変更を行ったかを記録しましょう。
- 05定期的なポリシーレビューと不要ルールの削除:アプリケーションの変更やワークロードの廃止に伴い、不要になったポリシールールを定期的に棚卸しして削除してください。使われていないルールが残存するとセキュリティリスクが増大し、管理の複雑性も高まります。
- 06異常通信の検知とインシデント対応の統合:マイクロセグメンテーションのログをSIEMに連携し、ポリシー違反(ブロックされた通信試行)をリアルタイムで監視してください。異常な通信パターンはラテラルムーブメントの兆候である可能性があり、迅速な調査と対応が必要です。
Incidents
📋 米国大手小売業者のPOSシステム侵害事件(2013年)
大手小売チェーンのTarget社で約4,000万件のクレジットカード情報が流出した事件では、攻撃者がHVAC(空調)ベンダーの認証情報を窃取してネットワークに侵入し、内部ネットワークを横方向に移動してPOSシステムに到達しました。空調システムとPOSシステムが同一のフラットなネットワーク上に存在していたことが、被害拡大の主因でした。
マイクロセグメンテーションが実装されていれば、HVACシステムからPOSシステムへの通信は許可されず、攻撃者のラテラルムーブメントを初期段階で阻止できた可能性があります。この事件は、ネットワーク内部のセグメンテーションの重要性を世界に知らしめました。
📋 ランサムウェアWannaCryの爆発的拡散(2017年)
2017年に世界150カ国以上で被害を出したWannaCryランサムウェアは、WindowsのSMBプロトコルの脆弱性(EternalBlue)を悪用してネットワーク内を自動的に拡散しました。一台の感染端末から同一ネットワーク上のすべてのWindowsマシンにSMB(ポート445)経由で感染が広がり、病院、工場、政府機関などで大規模な業務停止が発生しました。
マイクロセグメンテーションにより、ワークロード間のSMB通信を必要最小限に制限していれば、感染の拡散速度と範囲を大幅に削減できたと分析されています。この事件を契機に、多くの組織がマイクロセグメンテーションの導入を加速させました。
📋 クラウド環境におけるコンテナ間の不正通信事例(2022年)
あるSaaS企業のKubernetes環境で、攻撃者がWebアプリケーションの脆弱性を突いてコンテナに侵入した後、NetworkPolicyが未設定のクラスタ内を横方向に移動し、データベースPodに直接アクセスして顧客データを窃取する事件が発生しました。Kubernetes環境ではデフォルトですべてのPod間通信が許可されるため、明示的なNetworkPolicyの設定がなければ内部通信は制御されません。
この事件を受けて、同社はCiliumベースのマイクロセグメンテーションを導入し、Pod間のL7レベルでの通信制御を実装しました。名前空間ごとのデフォルト拒否ポリシーと、アプリケーション依存関係に基づく許可ルールにより、同様の攻撃を防御できる体制を構築しました。