ネットワーク セグメンテーションとは

ネットワーク セグメンテーションはネットワーク セキュリティ技術の 1 つであり、ネットワークをより小さな個別のサブネットワークに分割することを指します。これにより、ネットワーク チームはサブネットワークを区分し、それぞれのサブネットワークに固有のセキュリティ制御とサービスを提供できます。

ネットワーク セグメンテーションのプロセスでは、物理ネットワークをいくつかの論理サブネットワークにパーティショニングします。ネットワークを管理しやすい小さな単位に分割したら、切り離された個々のセグメントに対して制御を適用します。

ネットワーク セグメンテーションによって、ネットワーク セグメントごとに固有のセキュリティ サービスを提供できるようになります。したがって、ネットワーク トラフィックに対する制御を強化し、ネットワーク パフォーマンスを最適化して、セキュリティ ポスチャを改善できます。

なによりも、セキュリティが強化されます。言うまでもなく、セキュリティの強度はもっとも脆弱な箇所によって決定されます。大規模でフラットなネットワークは、必然的に広い攻撃対象領域を持つことになります。しかし、大規模でフラットなネットワークを小さなサブネットワークに分割すると、ネットワーク トラフィックがサブネットワーク内に分離されるため、攻撃対象領域が狭まり、ラテラルムーブメントが阻止されます。このため、ネットワーク境界が突破された場合でも、ネットワーク セグメントによって、攻撃者がネットワーク全体を水平方向に移動することを防止できます。
さらに、セグメンテーションによる論理的な方法を通じて、アクティブな攻撃がネットワーク全体に広がる前にそれを隔離することができます。たとえば、セグメンテーションによって、あるセグメントで発生したマルウェアがほかのセグメントのシステムに影響を与えないようにすることができます。セグメントを作成することで、攻撃が広がる範囲を制限し、攻撃対象領域を極限まで縮小できます。

次に、パフォーマンスについて考えます。セグメンテーションでは、特定のセグメントの不要なトラフィックを取り除くことで、ネットワークの輻輳を軽減し、ネットワーク パフォーマンスを向上させることができます。たとえば、病院の場合、来院者向けネットワークから医療機器をセグメンテーションすることによって、医療機器が来院者の Web ブラウジング トラフィックの影響を受けないようにできます。

ネットワーク セグメンテーションにより、サブネットワークあたりのホスト数を減らし、各サブネットワークのローカル トラフィックを最小限に抑えられるほか、外部トラフィックの宛先を指定されたサブネットワークに限定することができます。

ネットワーク セグメンテーションでは、大規模なネットワーク内に複数の分離されたセグメントを作成し、各セグメントにさまざまなセキュリティ要件やポリシーを設定することができます。これらのセグメントには、信頼度のレベルが等しい特定の種類のアプリケーションやエンドポイントが保持されます。

ネットワーク セグメンテーションを行う方法は複数あります。ここでは、VLAN を使用した境界ベースのセグメンテーションと、ネットワーク仮想化技術を使用する、より細分化されたネットワーク セグメンテーションについて紹介します。

境界ベースのセグメンテーション

境界ベースのセグメンテーションでは、信頼度に基づいて内部セグメントと外部セグメントが作成されます。ネットワーク セグメントの内部にあるものは信頼され、外部にあるものは信頼されていません。そのため、内部リソースには制限がほとんどありません。一般的に、フラットなネットワークで運用され、内部ネットワークのセグメンテーションは最小限に抑えられます。固定されたネットワーク ポイントで、フィルタリングとセグメンテーションを行います。

元々、VLAN は、ブロードキャスト ドメインを分割し、ネットワーク パフォーマンスを向上させるために導入されました。その後、次第に VLAN はセキュリティ ツールとして使用されるようになりましたが、セキュリティ ツールとしての使用が目的とされたことはありません。VLAN の問題点は、VLAN 内部でのフィルタリングがないことです。VLAN では非常に広範なレベルのアクセス権が付与されます。

さらに、セグメント間を移動するためには、ポリシーが必要になります。ポリシーを利用すれば、あるセグメントから別のセグメントへのトラフィック フローを停止したり、トラフィックを（トラフィックの種類、送信元、宛先に基づいて）制限したりできます。
ネットワーク ファイアウォールは、境界ベースのセグメンテーションによく使われるツールです。当初の採用目的は、ネットワークの North–South トラフィックの移動を制御しつつ、セグメント内の Any-to-Any 通信を許可するためでした。

ネットワーク仮想化

現在、多くの組織は、特定の機能を持つさまざまなネットワーク領域を管理しており、多数のネットワーク ポイントでセグメンテーションが必要になっています。加えて、ネットワークでサポートしなければならないエンドポイントも増えており、その種類やそれぞれの信頼度は非常に多様になっています。

そのため、境界ベースのセグメンテーションではもはや十分ではありません。たとえば、クラウド、BYOD、モバイルなどの登場によって境界が不明瞭になり、明確な区分がなくなっています。今日では、より優れたセキュリティとネットワーク パフォーマンスを実現するために、ネットワークのより詳細なセグメンテーションが必要とされています。そのうえで、今日の East-West トラフィック パターンに応じて、よりいっそうのネットワーク セグメンテーションが求められています。ネットワーク仮想化を使用することで、より高度なセグメンテーションが可能になります。

ネットワーク仮想化とは、単純化して述べると、物理インフラストラクチャから独立して行う、ネットワークとセキュリティのサービスのプロビジョニンです。ネットワーク仮想化は、境界だけでなくネットワーク全体でネットワーク セグメンテーションを実現できるため、効率的なネットワーク セグメンテーションの促進に重要な役割を果たします。実際には、これまで活用されてきた境界ベースのセグメンテーションも現在は仮想化され、柔軟性に優れたきめ細かいセキュリティ ポリシーを伴って、ネットワーク内の一つの分散セグメントとして構成されています。