クラウドセキュリティの重要な戦略として、クラウドネットワークを分離された小規模なセグメントに分割し、セキュリティ、管理性、パフォーマンスを強化する手法のことです。
ネットワークセグメンテーションとマイクロセグメンテーションは、さまざまな脅威から IT ネットワークインフラを保護するための実証済みのセキュリティ戦略です。ネットワークを小規模なサブネットワークにセグメント化し、個々のワークロードに応じたきめ細かいセキュリティポリシーを作成することで、ネットワークセキュリティを強化し、攻撃の成功範囲を制限することができます。
多くのセキュリティチームは、クラウドコンピューティングの動的な性質と無制限のスケーラビリティを理由に、クラウドでは同じセグメンテーション手法は機能しないと誤解しています。しかし、サイバー脅威の状況が進化し続けていくにつれ、デジタルエコシステムを保護するためにクラウド・インフラ・セグメンテーションを実装している組織が増えています。
クラウド・インフラ・セグメンテーション
クラウド・インフラ・セグメンテーションとは、クラウドネットワークをより小規模で分離されたセグメントまたはサブネットワークに分割する手法のことです。ネットワークのさまざまな部分を互いに分離することで、IT チームはアタックサーフェスを縮小しながら、ネットワークのトラフィックフローをより効果的に制御できます。また、不正アクセスのリスクを最小限に抑え、マルウェアやサイバー攻撃の拡散を制限することで、セキュリティをより簡単に管理できるようになります。
クラウドのネットワークセグメンテーションまたはマイクロセグメンテーションでは、仮想ローカル・エリア・ネットワーク(VLAN)、サブネット、セキュリティグループ、ネットワークアクセス制御リスト(ACL)などの手法やテクノロジーを使用して、クラウドインフラ内に論理的な境界を作成します。個々のワークロード、アプリケーション、リソースをセグメント化して分離することで、ネットワークトラフィックとセキュリティポリシーをきめ細かく制御しながら、許可されたエンティティのみがこれらの資産と通信し、資産を利用できるようにします。
クラウドインフラのセグメント化が重要な理由
クラウドの動的な特性により、クラウドのワークロードは、オンプレミスのリソースよりも外部の脅威にさらされやすいと言えます。IBM の「Cost of a Data Breach Report 2024(2024 年データ侵害のコストに関する調査レポート)」によると、データ侵害の 80% は、パブリッククラウド、プライベートクラウド、ハイブリッドクラウドのいずれかの環境に保存されていたデータに関連して発生しています。組織がクラウドに移行するワークロードやアプリケーションが増えるにつれ、クラウドセキュリティへの投資や注目はますます顕著なものとなるでしょう。クラウド・インフラ・セグメンテーションは、組織がデータ漏えいのリスクとサイバー攻撃の成功による損害を軽減する非常に効果的な方法です。
クラウドインフラをセグメント化する方法
クラウドインフラをセグメント化するために、チームは仮想プライベートクラウドの仮想ネットワークとサブネットを使用して、IT 環境内の新規または既存のゾーンに新しいサーバー、セキュリティグループ、ユーザーを動的に割り当てることができます。セキュリティグループとネットワーク ACL を使用することで、管理者はインバウンドトラフィックとアウトバウンドトラフィックのルールを定義して、リソースとワークロードを効果的に分離し、セグメント間の通信を制御できます。ファイアウォールとゲートウェイを使用すれば、ネットワークのトラフィックフローを検査し、セキュリティポリシーを適用して不正な通信を防止できます。
クラウド環境は動的で急速に変化しているため、組織はネットワーク・セキュリティ・ポリシーを変更管理テクノロジーに統合して、ネットワーク内のすべてのオブジェクト(IP アドレス、ユーザー、セキュリティグループ、タグなど)を自動的に追跡する必要があります。物理ネットワークとオンプレミスのデータセンターの制御にクラウド環境のネイティブ制御を組み合わせた統合セグメンテーションソリューションが理想的です。これは、セキュリティポリシーの変更を自動化し、デジタルフットプリント全体で一貫したポリシーを徹底的に適用できるためです。
クラウド・インフラ・セグメンテーションのメリット
クラウドインフラをセグメント化すると、組織やその IT チームでは次のことが可能になります。
- セキュリティポスチャの強化:クラウド・セグメンテーション・ポリシーは、不正アクセスをブロックし、ネットワーク全体でハッカーやマルウェアによるラテラルムーブメント(横方向の移動)を阻止するために非常に効果的です。また、セグメンテーションにより、ファイアウォール、セキュリティグループ、各セグメントのアクセス制御をきめ細かく設定できます。
- 脅威の封じ込め:セキュリティ侵害やマルウェア感染が発生した場合、セグメンテーションによって脅威を封じ込め、ネットワークの他の部分を保護するよう攻撃範囲を制限できます。
- 規制遵守の効率化:セグメンテーションを行うと、組織は厳格なセキュリティ制御で機微な情報を確実に分離、保護できます。これにより、規制基準への準拠が容易になり、コンプライアンスを実証できます。PCI DSS などの多くの規制フレームワークでは、機微な情報とシステムを分離するためにセグメンテーションが必要です。
- パフォーマンスの改善:クラウド・インフラ・セグメンテーションは、ネットワークトラフィックを制限し、各セグメント内のトラフィックフローを最適化することで、ネットワークの輻輳を最小限に抑えられる可能性があります。
- クラウド管理のシンプル化:大規模で複雑なネットワークを小さく管理しやすい単位に分割することで、管理が容易になり、セキュリティチームやネットワーク管理者の作業がシンプル化されます。
- インシデント対応の高速化:セグメンテーションは、侵害を特定のセグメントに封じ込め、潜在的な脅威を早期にチームに警告し、広範なネットワークへの影響を軽減することで、インシデント対応機能を強化します。
- クラウド・ネイティブ・アーキテクチャの保護:企業では、ワークロードの移植性を向上させるクラウド・ネイティブ・アーキテクチャが採用されています。セグメンテーションは、セキュリティポリシーを適用してそれらのアーキテクチャを保護するという重要なタスクに役立ちます。
- ゼロトラスト・セキュリティのサポート:クラウド・インフラ・セグメンテーションは、最小権限アクセスを実装することで、セキュリティチームがクラウドセキュリティにゼロトラスト・アプローチを採用できるように支援します。
クラウド・インフラ・セグメンテーションの課題
クラウドインフラをセグメント化すると、IT チームはいくつかの重要な課題に直面することになります。
- 複雑な管理タスク:マルチクラウド環境やハイブリッドクラウド環境でのセグメンテーションポリシーの実装と管理は、非常に複雑になる可能性があります。
- 可視性の維持:トラフィックフローとエンドポイントが複数のセグメントに分散している場合、セグメント化されたネットワークの可視化と追跡は困難です。
- 境界のプロビジョニング:クラウドの動的な性質により、セグメント境界のプロビジョニングと管理には継続的な監視と更新が必要になるため、リソースに負担がかかり、設定ミスによる侵害の可能性が高まります。
- パフォーマンスへの影響の最小化:セグメンテーションのアプローチによっては、追加のセキュリティ対策やファイアウォールを介してトラフィックをルーティングするため、パフォーマンスに悪影響を及ぼす可能性があります。
- 環境間の互換性:異なるクラウドプロバイダーとオンプレミスのシステム間の互換性を確保することは、継続的な課題となります。
- スキルと専門知識のギャップ:クラウド・インフラ・セグメンテーションには、専門的な知識やスキルが必要になる場合があります。そのため、社内のセキュリティチームへの追加採用や追加トレーニングが必要になる場合があります。
- コストの増加:動的なクラウド環境にセグメンテーションを実装するためのコストは高くなる可能性があります。
これらの課題を克服するために、IT チームとセキュリティチームは、さまざまなインフラ全体にセキュリティポリシーをシームレスに実装し、自動化を活用してクラウドでのセグメンテーションの複雑さと管理の負担を最小限に抑えることができる革新的なソリューションを必要としています。
クラウド・インフラ・セグメンテーションの実装方法
クラウド・インフラ・セグメンテーションを実装するためには、いくつかのステップがあります。
- セグメンテーション要件の定義:機微な情報、重要なアプリケーション、コンプライアンス要件を特定したら、各資産の適切なセグメンテーションレベルに基づいて、明確なセグメンテーションポリシーを策定する必要があります。
- マイクロセグメンテーションの実装:マイクロセグメンテーションなら、ワークロードレベルできめ細かいセキュリティ制御を適用し、各ワークロードの属性に基づいてきめ細かいセキュリティポリシーを適用できます。また、ゼロトラストの原則を遵守することも可能です。
- オーケストレーションの自動化:Infrastructure as Code(IaC)と自動化を活用することで、セグメンテーションポリシーを一貫してプロビジョニング、管理、適用できます。
- 監視と調整:監視、ロギング、監査により、ネットワーク・トラフィック・フロー、セキュリティイベント、ポリシー適用の可視性を維持し、セグメンテーションポリシーを調整して新たな脆弱性や脅威に対応できます。
よくあるご質問
セグメンテーションを行うと、アタックサーフェスの縮小、脅威のラテラルムーブメント(横方向の移動)の制限、機微な情報の分離を実現でき、組織全体のセキュリティポスチャが強化されます。
はい、セグメンテーションはマルチクラウド環境とハイブリッドクラウド環境の両方に適用できますが、互換性と複雑さを管理するために、IT チームではより高度なツールや戦略が必要となる場合があります。
Akamai が選ばれる理由
Akamai は、オンラインビジネスの力となり、守るサイバーセキュリティおよびクラウドコンピューティング企業です。市場をリードするセキュリティソリューション、優れた脅威インテリジェンス、そして世界中の運用チームが、あらゆるところで企業のデータとアプリケーションを多層防御で守ります。Akamai のフルスタック・クラウド・コンピューティング・ソリューションは、世界で最も分散されたプラットフォーム上で、パフォーマンスと手頃な価格を両立します。安心してビジネスを展開できる業界トップクラスの信頼性、スケール、専門知識の提供により、Akamai はグローバル企業の信頼を獲得しています。
