ネットワーク・セグメンテーション：最後の防衛線？

ネットワーク・セグメンテーションは、あらゆる組織のセキュリティ戦略において重要な役割を果たします。インサイダーの脅威​、横の動き、特権の​昇格は深刻な脅威となっており、ネットワーク・セグメンテーションは、すでにネットワークに侵入した悪意のある行為者に対する最後の防衛線となることがよくあります。ネットワーク・セグメンテーションは、すでにネットワークに侵入している悪意ある行為者に対する最後の防衛線となることが多い。

ネットワーク・セグメンテーションとは何か？

ネットワークのセグメンテーションは、ネットワークの重要な要素を分離するために使用できるアーキテクチャである。ネットワークをセグメンテーションする場合、システムを個々のサブネットまたはセグメントに分割し、それぞれが独自のネットワークとして機能するようにします。これらのサブネット間のトラフィックはネットワーク管理者によって制御され、どのサービスやユーザーがどのサブネットにアクセスするかを制限することができます。

なぜネットワーク・セグメンテーションが重要なのか？

従来のネットワークは、ネットワーク境界の保護に重点を置いていた。これらのアーキテクチャでは、ファイアウォールや侵入防御システム（IPS）を使用してトラフィックを制限している。従来のネットワークでは、攻撃は外部からやってくるものであり、ネットワーク内部の資産やアプリケーションはそれほど保護する必要はないと考えられていました。

これは、悪意のあるトラフィックがネットワークの外から発生し、侵入する前に捕捉される限り有効である。しかし、これでは悪意のあるインサイダーや、成功した外部からの攻撃者に対してほとんど防御することができない。ネットワークがセグメント化されていない場合、内部はフラットな構造になっているため、ユーザーはリソースを横方向に簡単に移動することができる。この同じ構造が攻撃者に悪用される可能性がある。

しかし、ネットワークがセグメント化されると、外部バリアに加えて内部バリアが形成される。これらのバリアは、攻撃がどこから発生しても、成功した攻撃による被害を制限するのに役立つ。

ネットワーク・セグメンテーションの利点

ネットワークをセグメント化すると、以下のようなメリットがある：

モニタリングの向上 -セグメント化されたネットワークでは、トラフィックを制御し、フィルタリングする機能が必要です。本来、セグメントやサービス間を移動するすべてのトラフィックを確認できるため、モニタリングの向上につながります。また、サービスやユーザーがどのように様々なリソースに接続しているかについての洞察も深まります。

パフォーマンスの向上 -セグメント化されたネットワーク・トポロジーでは、サブネットあたりのホストの数が少なくなるため、ローカル・トラフィックが少なくなります。ブロードキャストトラフィックはローカルサブネットに分離できます。これにより、ネットワークの輻輳が緩和され、既存のリソースでのキャパシティが向上します。

データ・セキュリティの向上 -ネットワーク・セグメンテーションにより、システム保護をカスタマイズする能力が高まります。セグメンテーションを使用して、優先順位に基づいて資産を階層化することができます。例えば、クリティカルな資産をより大きな保護の背後に置き、クリティカルでない資産にはよりアクセスしやすくすることも1つのアプローチです。保護を積み重ね、戦略的に焦点を絞ることで、最も貴重で標的となりやすいデータをより確実に保護することができる。セグメンテーションのセキュリティ上の利点は以下の通りである：

• ネットワーク・セグメント間のアクセスを制限または防止するために、ネットワーク・トラフィックを分離またはフィルタリングすることができる。
• アクセス・コントロールは、ユーザーが特定のネットワーク・リソースにのみアクセスできるようにする。
• 封じ込め - ネットワークの問題が発生した場合、その影響はローカル・サブネットに限定される。

敵の攻撃からの保護 -攻撃者の動きを制限できることが、ネットワーク・セグメンテーションの主な利点です。セグメンテーションにより、攻撃者がネットワークに侵入した場合、侵入した特定のセグメントにのみアクセスできるようになります。

他の資産に到達するためには、攻撃者はさらなる障壁を突破しなければなりません。これには時間がかかり、検知システムが攻撃活動を認識し、警告し、ブロックする機会が増えます。攻撃者が資産に到達するまでに時間がかかればかかるほど、被害を防止または軽減するチャンスは高まる。ネットワーク・セグメンテーションは完全なセキュリティではありませんが、敵が最も重要な資産に到達することをより困難にします。

ネットワーク・セグメンテーションの使用例

ネットワーク・セグメンテーションは、あらゆるネットワークのセキュリティを向上させるのに役立つが、よく実装される特定のユースケースがいくつかある。

ゲスト・ワイヤレス・ネットワーク -組織では、メイン・ネットワークへのアクセスを許可するのではなく、クライアントや請負業者にゲスト・ネットワークを提供したい場合がよくあります。ネットワーク・セグメンテーションは、より広いリソースへのアクセスを制限しながら、これを実現することができます。例えば、ゲストには内部ではなくインターネット・リソースへのアクセスのみを提供する認証情報を与えることができます。

ユーザー・グループ・アクセス -ネットワーク内には、部門固有のデータやサービスがあります。ネットワーク・セグメンテーションによって、こうしたサービスやデータへのアクセスを、必要な部署やユーザーだけに制限することができます。例えば、開発者はコードベースやテスト環境へのアクセスは必要だが、人事リソースや従業員記録へのアクセスは必要ない。セグメンテーションを使えば、アクセスを直接ブロックしたり、不審なアクセスに対してアラートを発したりすることができる。

パブリック・クラウドのセキュリティ -パブリック・クラウド・サービスを利用しているのであれば、セキュリティの責任共有の概念についてよく理解しておく必要がある。責任共有モデルでは通常、クラウド・ユーザーはアプリケーション、データ、システム・アクセスに関するセキュリティを自分で管理する必要がある。しかし、クラウドのエンジニアやサポートは、リソースやデータへの最低限のアクセスを必要とします。ネットワーク・セグメンテーションは、特定のアクセス権を持つユーザーをより細かく制御することで、この保護をより一貫性のあるものにします。

規制コンプライアンス -ネットワーク・セグメンテーションは、影響を受けるデータに必要なコントロールを適用することで、規制コンプライアンスを確保するのに役立ちます。たとえば、クレジットカード情報を収集する必要がある場合、データの保存場所とアクセス可能なユーザーを厳密に分離できます。これにより、ネットワーク全体でより重い必要な制限を必要とすることなく、PCIコンプライアンスを満たすことができます。

ネットワーク・セグメンテーションの課題

ネットワーク・セグメンテーションは大きなメリットをもたらすが、正しく実装するのが難しい場合もある。以下に、最も一般的な課題をいくつか挙げる。

無理をしすぎる

ネットワーク・セグメンテーションによって、組織はシステムをより詳細に管理できるようになるが、その反面、すぐにマイクロマネジメントに陥ってしまう可能性がある。これは、ネットワークのあらゆる側面をセグメント化しようとしたり、どこからどのように始めたらよいかわからない場合に起こる可能性がある。

粒度の細かいセグメンテーション、つまりナノ・セグメンテーションは、セキュリティ・チームやオペレーション・チームにとって、大きな追加的利益を生むことなく、より多くの仕事を生み出すことになる。より多くのネットワーク・バリアが必要となり、ユーザーにとってボトルネックとなる可能性が高くなる。

さらに、ネットワーク全体を一度にセグメント化しようとすると、事前の計画が必要になり、作業をやり直す必要も出てくる。いくつかのセグメントを作るところから始めた方が、テストしながら設定を改良できるので、ずっと簡単だ。

警告への不応答

ネットワークをセグメント化すると、アラートと監査のチャネルが増えるが、情報過多になる可能性もある。セキュリティ・チームが突然、以前の2倍ものアラートを受け取るようになれば、インシデントを見逃したり、無視したりする可能性が高くなる。これは明らかな理由で問題である。セグメント化されたネットワークは、セキュリティを向上させる場合にのみ有効である。

セグメンテーションを機能させるには、追加トラフィックデータの処理と管理に役立つツールやソリューションを組み込む必要がある。これは多くの場合、設定可能な自動応答を備えたシステムの採用を意味する。また、データを一元化し、セグメントを個別に監視する必要性をなくすソリューションの利用も必要である。

ネットワーク・セグメンテーションのセキュリティをさらに向上させるには

ネットワークがセグメンテーションされた後、コンフィギュレーションは問題ないと思い、次に進みたくなることがある。しかし、資産、ユーザー、アクセス方法は変化する。このような変化に対応するためには、セグメンテーションの設定を定期的に監査する必要がある。監査は、システムが効率的かつ効果的に運用されていることを確認するのに役立つ。

さらに、攻撃戦略の変化を考慮して、セグメンテーション対策を適応させるべきである。セグメンテーションの方法やツールが一般的になると、攻撃者はこれらのシステムを回避する方法を見つける。あなたの資産の安全性を確保するためには、あなたも適応する必要がある。

ネットワークの可視性セグメンテーション戦略

ネットワーク・セグメンテーションは上記のように多くのメリットをもたらすが、企業はネットワーク、データ、ユーザー、デバイスを完全に可視化する必要がある。また、自社のビジネス要件やセキュリティ要件に適合するよう、セキュリティ・ポリシーを常に監視し、調整する必要がある。企業は、ネットワークの各レイヤーでネットワーク・セグメンテーションを実施するために、ゼロ・トラスト・ネットワーク・アーキテクチャーを検討することもできる。

ネットワーク、ユーザー、デバイスの可視性をさらに向上させるために、企業はSIEMテクノロジーを採用している。SIEMテクノロジーは、異種ソースからすべてのデータを集めて異常を探し、さまざまなネットワーク・ゾーンにわたる横方向の動き、分散攻撃、ユーザー行動の変化を追跡することができる。

Exabeam Security Management Platformは、無制限のログデータを収集し、ユーザーとエンティティの行動分析（UEBA）を使用して高度な脅威を検出し、インシデントレスポンスを自動化およびオーケストレーションできる次世代SIEMです。また、インシデントレスポンスの自動化およびオーケストレーションも可能です。これにより、拡張性と管理性に優れたネットワーク可視化インフラが実現し、強力なネットワーク・セグメンテーション戦略を補完します。