Vol.03 ゼロトラスト時代のセキュリティ〜マイクロセグメンテーションの実装〜

この記事であなたがやるべきこと

後述する「マイクロセグメンテーションの5つの実装アプローチ」を理解して、

自社の環境に最適なセグメンテーション手法を選択し、

ゼロトラスト実現に向けたネットワークセキュリティの強化策を具体的に検討できるようになること。

はじめに

「社内ネットワークは安全だから、内部の通信制限は最小限で良いよね」

「VLANで部署ごとにネットワークを分けているから、これ以上の対策は不要だろう」

このような考え方は、現代のサイバーセキュリティ環境においては危険です。サイバー攻撃の手法は高度化し、一度内部ネットワークに侵入されると、従来の境界型セキュリティでは横方向の移動（ラテラルムーブメント）を防ぐことができません。

前回（Vol.02：ID管理編）では、ゼロトラスト実現の第一歩となる「IDaaS導入とアイデンティティ管理」について解説しました。ゼロトラストの考え方では、「誰が」アクセスするかの管理だけでなく、「どのようにアクセス制御するか」も重要です。そこで本記事（Vol.03：マイクロセグメンテーション編）では、ゼロトラスト実現の重要な要素となる「マイクロセグメンテーション」について解説します。

マイクロセグメンテーションとは、ネットワークをより細かな単位に分割し、それぞれの間の通信を厳格に制御する手法です。本記事では、マイクロセグメンテーションの基本概念から実装方法、導入事例まで、実践的な知識を提供します。

従来のネットワークセキュリティの限界

まずは、これまで企業で一般的に行われてきたネットワーク分割方法と、その問題点を見ていきましょう。

これまでのネットワーク分割の基本的な方法

1. 社内LANを部署ごとに分ける方法（VLAN）

イメージとしては、一つの大きな社内ネットワークを「営業部」「総務部」「開発部」などの部署ごとに仮想的に分割する方法です。

• 同じ部署内なら、基本的にすべての通信が自由に行える

• 別の部署とは一部の通信のみを許可することが可能

• ケーブル配線をいじらなくても、ネットワーク機器の設定だけで部署間の通信制御ができる

2. インターネットとの境界にファイアウォールを設置する方法

社内と社外を分離し、特定の通信だけを許可する方法です。

• 社内ネットワーク、DMZ（Webサーバーなど外部公開サーバー用の領域）、インターネットといった大きな区画分け

• 「社内→インターネット」「インターネット→DMZ」などの大まかな通信ルールを設定

• 主に社外からの不正アクセスを防ぐことに重点を置いている

3. ネットワーク機器での通信制御（ACL）

ルーターやスイッチなどの機器で「どのIPアドレス同士の通信を許可するか」を設定する方法です。

• 「サーバーA→サーバーB」の通信は許可、「サーバーA→サーバーC」の通信は禁止、といった設定

• IPアドレスやポート番号による大まかなフィルタリング

• 手作業での設定が基本で、細かいルールを大量に管理するのは大変

なぜこれらの方法では今のサイバー攻撃に対応できないのか

1. 大まかな分け方で細かい制御ができない

「営業部」というネットワークの中に100台のPCがあれば、そのどれからでも営業部のサーバーにアクセス可能です。一台のPCが感染すると部門内に被害が広がりやすい状態です。

2. 設定変更に時間がかかる

「サーバーを追加した」「新しいアプリが導入された」といった変化があるたびに、手動でルールを追加・修正する必要があります。クラウドのように環境が頻繁に変わる場合、設定が追いつきません。

3. 異常な通信パターンが見えにくい

営業部内の通信は基本的に自由なので、「営業部のPCから経理データにアクセスしようとしている」といった不審な動きを検知しにくいです。

4.クラウドやリモートワークに対応しにくい

社内にあるサーバーだけでなく、クラウド上のサービスやリモートワーク環境など、従来の境界がなくなった環境では、「内側と外側を分ける」という考え方自体が通用しなくなっています。

実際に起きたセグメンテーション不足による攻撃事例

ケース1：三菱電機での標的型攻撃による情報漏洩（2020年）

2020年1月、三菱電機は中国を拠点とするサイバー攻撃グループ「Tick（ティック）」による標的型攻撃を受け、防衛関連や電力システムなどの機密情報約200MBが外部に流出したことを公表しました。

攻撃者は中国の関連会社のサーバーを踏み台として日本国内の社内ネットワークに侵入。同社は事業部門ごとのVLANなど基本的なセグメンテーションは実施していたものの、内部ネットワークでの横方向移動を制限するマイクロセグメンテーションが不足していました。その結果、攻撃者は約8ヶ月間にわたり社内システム間を自由に移動し、防衛省向け製品や重要インフラ関連の技術情報を窃取しました。

専門家の分析によれば、「アプリケーションレベルのマイクロセグメンテーションがあれば、侵入後の被害範囲を最小限に抑えられた可能性が高い」と指摘されています。

ケース2：JTB個人情報流出事件（2016年）

2016年6月、大手旅行会社JTBは標的型攻撃により、約793万人分の個人情報（氏名、住所、パスポート番号など）が流出したと発表しました。

攻撃は従業員が開いたマルウェア付きメールから始まりました。JTBはインターネットと社内ネットワークの分離という境界防御は実施していましたが、内部ネットワークの細かなセグメント分割が不十分でした。攻撃者は侵入後、社内の複数のサーバーを経由して顧客情報データベースにアクセス。重要データへの細かなアクセス制御がなかったことが被害拡大につながりました。

情報セキュリティ専門家は「データベースサーバーを独立したセグメントとして分離し、厳格なアクセス制御を実装していれば、たとえ初期侵入があっても重要データへの到達を防げた可能性が高い」と指摘しています。

マイクロセグメンテーションとは何か

これらの問題に対応するために登場したのが「マイクロセグメンテーション」です。この考え方と従来方式の違いを見ていきましょう。

マイクロセグメンテーションの基本的な考え方

マイクロセグメンテーションとは、ネットワークをより細かな単位に分割し、それぞれの間の通信を厳格に制御する手法です。例えるなら、一人ひとりの部屋に入退室カードを求めるイメージです。

マイクロセグメンテーションの特徴

• 細かい単位での分割：部署単位ではなく、サーバー単位やアプリケーション単位で通信を制御

• 必要最小限の通信だけを許可：「基本的に通信を禁止し、必要な通信のみ許可」という考え方

• 環境の変化に自動で対応：クラウドでサーバーが追加・削除されても自動的にルールを適用

• 通信の可視化：「どのサーバーが何と通信しているか」を詳細に把握できる

• ID・役割に基づく制御：IPアドレスだけでなく、「誰が」「何の目的で」アクセスするかも考慮

従来のネットワーク分割との違い

従来のセグメンテーションとマイクロセグメンテーションの主な違いは次の表のとおりです。

マイクロセグメンテーションの導入効果

マイクロセグメンテーションを導入することで、以下のような効果が期待できます

セキュリティ強化

• 侵入されても被害を局所化（1台のPCが感染しても他へ広がりにくい）

• 内部での不正な横移動（ラテラルムーブメント）を防止

• 未知の脅威（ゼロデイ攻撃など）への耐性向上

  
  

法令・セキュリティ基準への対応強化

• クレジットカード情報や個人情報保護に関する基準への対応がしやすくなる

• 「誰が何にアクセスしたか」の詳細な証跡が残せる

  
  

運用効率の向上

• 通信の可視化により問題の特定が容易に

• 環境変化への柔軟な対応

• 自動化による管理負担の軽減

マイクロセグメンテーションの5つの実装アプローチ

マイクロセグメンテーションを実現するには様々な方法があります。ここでは、代表的な5つのアプローチを紹介します。自社環境に合ったアプローチを選ぶことが重要です。

1. ネットワーク機器を活用する方法

既存のネットワーク機器（ファイアウォールやスイッチなど）を活用してセグメンテーションを実現する方法です。

メリットは、既存のネットワークインフラをそのまま活用できるため追加投資を抑えられる点です。ネットワーク管理者にとって馴染みのある操作方法で導入でき、各サーバーに特別なソフトをインストールする必要もありません。

デメリットとしては、クラウド環境では機能が限定されることがあり、ルール数が増えると管理が複雑になります。また、アプリケーションレベルでの細かい制御には向いていません。

主な製品例：Cisco ACI、Palo Alto Networks次世代ファイアウォール

向いている企業：オンプレミスの環境が多い金融機関など

2. 各サーバーにエージェントを導入する方法

各サーバーや仮想マシンに専用のソフトウェア（エージェント）をインストールして、そのサーバーの通信を直接制御する方法です。

メリットは、ネットワーク機器に依存せず、どんな環境でも一貫した制御が可能な点です。クラウド環境でも効果的に機能し、サーバー単位での詳細な制御ができます。

デメリットは、すべてのサーバーにエージェントをインストール・管理する必要があることです。古いOSでは動作しないことがあり、エージェントの処理負荷も考慮しなければなりません。

主な製品例：Illumio Core、Guardicore Centra

向いている企業：クラウドとオンプレミスが混在する環境の企業

3. 仮想化基盤レベルで制御する方法

仮想サーバー環境（VMware、Hyper-Vなど）の仮想化基盤自体に制御機能を組み込む方法です。

メリットは、仮想マシン間の通信を効率的に制御できる点です。仮想マシンの移動（マイグレーション）にもポリシーが追従し、各サーバーOSに依存せず制御できます。

デメリットは、特定の仮想化環境でしか使えないことです。物理サーバーは対象外となり、仮想化技術の専門知識が必要になります。

主な製品例：VMware NSX、Microsoft Hyper-V Network Virtualization

向いている企業：大規模な仮想化環境を持つ企業

4. アプリケーションレベルで制御する方法

アプリケーション自体またはその通信プロキシを使って制御する方法です。特にコンテナ環境で有効です。

メリットは、アプリケーション間の通信を最も細かく制御できる点です。クラウドネイティブな環境と親和性が高く、開発・デプロイプロセスと連携しやすいという特徴があります。

デメリットは、既存の（レガシー）アプリケーションへの適用が難しいことです。開発者の協力が必要であり、導入には専門知識も求められます。

主な技術例：Kubernetes Network Policy、Istioなどのサービスメッシュ

向いている企業：コンテナ技術を活用している企業、クラウドネイティブなアプリ開発をしている企業。

5. クラウド提供の機能を使う方法

AWS、Azure、GCPなどのクラウドプロバイダーが提供するセキュリティ機能を活用する方法です。

メリットは、追加コストを抑えられる点です。多くの機能は標準で提供されており、クラウド環境との親和性が高く、クラウドの自動スケーリング機能とも連携しやすいです。

デメリットは、クラウドプロバイダー固有の実装になりがちなことです。複数のクラウドを使っている場合は一元管理が難しく、オンプレミス環境との連携にも工夫が必要です。

主な技術例：AWS Security Groups、Azure Network Security Groups

向いている企業：クラウドを中心にシステムを構築している企業

多くの場合、これらの方法を組み合わせて使うことになります。例えば「社内システムはネットワーク機器で、クラウドはクラウド提供の機能で」といった形で、環境に合わせて最適な方法を選択しましょう。

マイクロセグメンテーション導入の実践ガイド

マイクロセグメンテーションを具体的にどう進めていくべきか、実践的なステップを説明します。

第1段階：通信の「見える化」（2〜3ヶ月）

まずは「どのシステムが何と通信しているか」を把握することから始めます。

具体的な作業例：

• 通信の可視化ツールを導入し、システム間の通信パターンを把握する

• 最低4週間の通信ログを収集し、平日/休日、月次処理日など様々なパターンを含めて分析する

• 「この通信は何のため？」という視点で、開発・運用担当者にヒアリングを実施する

• 重要度の高いシステム（顧客情報DBや決済システムなど）を特定し、その通信パターンを重点的に分析する

  
  

この段階で「思いもよらない通信」が見つかることがほとんどです。例えば、「開発サーバーから本番DBへの直接アクセス」「保守用PCから複数の業務サーバーへの不定期アクセス」などです。

第2段階：初期ポリシー設計とテスト環境での検証（1〜2ヶ月）

分析結果をもとに、初期のセグメンテーションポリシーを設計し、テスト環境で検証します。

具体的な作業例：

• 「基本は遮断、必要な通信のみ許可」の原則でポリシーを設計する

• 重要システム向けのポリシーを優先的に作成する（例：顧客DBサーバーには特定のアプリサーバーからのみアクセス可能）

• テスト環境に選定したマイクロセグメンテーションツールを導入する

• 最初は「監視モード」で運用し、どの通信がブロックされるかをログで確認する

• 正規の業務に影響がある場合は、ポリシーを調整する

第3段階：本番環境への段階的展開（3〜6ヶ月）

テスト結果をもとに、本番環境へ段階的に展開します。一度にすべてを変更するのではなく、計画的に進めることが重要です。

具体的な作業例：

1. まず重要度の低い非業務システムから開始（社内情報サイトなど）

2. 次に中程度の重要システム（社内業務系アプリケーション）

3. 最後に基幹システム（会計システム、顧客情報システムなど）

   
   

各段階で以下のステップを踏みます：

最初の2週間は監視モードで運用し、潜在的な影響を確認

• 問題がなければエンフォースメントモード（実際にブロック）に切り替え

• 切り替え後1週間は集中監視し、業務影響が出ていないか確認

• 問題発生時の緊急バイパス手順を準備しておく

よくある疑問・注意点

Q1: 既存のファイアウォールでルールを細かく設定しても同じ効果は得られませんか？

A: 理論上は可能ですが、実用面で大きな違いがあります。従来のファイアウォールでは数千のルールを効率的に管理することは難しく、クラウド環境や動的に変化するシステムへの対応も限定的です。マイクロセグメンテーションツールでは、自動化やアイデンティティベースの制御など、現代のIT環境に適した機能が提供されます。

Q2: 導入にはどのくらいの期間とコストが必要ですか？

A: 企業規模や環境によって異なりますが、典型的には以下のような目安があります。

• 小〜中規模企業：3〜6ヶ月、初期投資は数百万円〜数千万円程度

• 大規模企業：6〜18ヶ月、初期投資は数千万円〜数億円程度

重要なのは、リスクベースで優先順位をつけ、段階的に導入することです。まずは重要資産の保護から始め、徐々に範囲を広げていくアプローチが効果的です。

Q3:  ユーザー体験や業務への影響はありませんか？

A: 適切に設計・導入すれば、エンドユーザーへの影響は最小限に抑えられます。監視モードからスタートし、十分なテスト期間を設けることで、業務影響を事前に把握し対応できます。ただし、計画段階から業務部門を巻き込み、潜在的な影響を評価することが重要です。

Q4: レガシーシステムでも実装できますか？

A: エージェントインストールができないレガシーシステムには「封じ込め戦略」が有効です。システム自体を変更せず、そのシステムが配置されているネットワークセグメントへのアクセスを制限することで間接的に保護します。例えば、古い基幹システムには特定の端末からしかアクセスできないようにするといった対策です。

まとめ

マイクロセグメンテーションは、ゼロトラストセキュリティの重要な要素であり、三菱電機やJTBの事例が示すように、内部ネットワークでの横方向移動を制限する効果的な対策です。

実装アプローチはネットワーク機器を活用する方法、各サーバーにエージェントを導入する方法、仮想化基盤レベルで制御する方法、アプリケーションレベルで制御する方法、クラウド提供の機能を使う方法の5種類があり、自社環境に最適なものを選択または組み合わせて使用します。

導入は一度にすべてを変更するのではなく、可視化→戦略設計→テスト環境での検証→段階的展開という流れで進めることが重要です。「完璧を目指すよりも、まずは始めること」がセキュリティ向上への第一歩となります。

次回（Vol.04：エンドポイント保護編）では、マイクロセグメンテーションと連携して効果を発揮するエンドポイントセキュリティについて解説します。

最後までお読みいただき、ありがとうございました！