クラウドアプリケーションのセグメンテーションは、クラウド・ネイティブ・アプリケーションやクラウドベースのアプリケーションの資産とそれらのワークロードを分離し、きめ細かいセキュリティポリシーによって許可されたエンティティのみがそれらの資産との通信やアクセスを行えるようにして保護することで、セキュリティを強化します。
セグメンテーションは、ネットワークまたは IT インフラをより小さなセグメントに分割して、よりきめ細かいセキュリティポリシーで保護する、実績に裏打ちされたサイバーセキュリティ手法です。サイバー攻撃によって IT 環境が侵害されても、セグメンテーションにより、攻撃者やマルウェアが横方向に移動して環境の他の部分を侵害することを防止できます。
組織がクラウドインフラやクラウド内の SaaS ベースのアプリケーションにますます依存するようになるにつれて、IT チームがこれらの資産の保護にセグメンテーションを活用することが増えています。クラウド環境を分離されたセグメントやゾーンに分割することで、チームは効果的にセキュリティを強化し、トラフィックフローを制御し、アタックサーフェスを縮小することができます。
クラウドアプリケーションのセグメンテーションは通常、クラウドで提供される仮想ローカル・エリア・ネットワーク(VLAN)とサブネットによって実現しますが、マイクロセグメンテーションによって実現することもできます。マイクロセグメンテーションとは、セキュリティポリシーをよりきめ細かく適用できるようにするソフトウェアベースの手法です。最適なマイクロセグメンテーションソリューションは、インフラに依存せず、基盤となるインフラからセキュリティ制御を分離して、可視性と保護をクラウドに拡張できるソリューションです。

従来のアプリケーションセグメンテーションとクラウドアプリケーションのセグメンテーションの違い
従来のアプリケーションセグメンテーションは、トランスポートレイヤーである OSI モデルのレイヤー 4 で行われます。アプリケーションの周囲にセキュリティ境界を確立することで、IT チームはそのアプリケーションにアクセスできる人や物を制御できます。しかし、従来のアプリケーションセグメンテーションには限界があります。主にレイヤー 4 の制御に依存するため、動的な環境や、コンテナ化のようなアプリケーション展開プロセスにおける管理が困難です。さらに、ファイアウォールなどのセキュリティツールは、動的な環境で発生する急速な開発や絶え間ない変化に対応するようには設計されていません。
マイクロセグメンテーションは、従来のアプリケーションセグメンテーションに代わる、より効果的な選択肢として登場しました。なぜなら、ハイブリッドクラウド環境やマルチクラウド環境でアプリケーションをよりきめ細かくセグメント化できるからです。マイクロセグメンテーションソリューションは通常、オンプレミス環境とクラウド環境内の通信を詳細に可視化すると同時に、アタックサーフェスを大幅に減らすための、よりきめ細かい一連のポリシー制御を提供します。優れたマイクロセグメンテーションソリューションは、アプリケーションレイヤー(OSI モデルのレイヤー 7)にまで及ぶアプリケーション中心のアプローチを採用しています。これにより、個々のプロセスレベルでの可視化と制御が可能になり、アタックサーフェスと侵害の可能性がさらに減少します。
クラウドアプリケーションのセグメンテーションの必要性
クラウドアプリケーションのセグメント化は、クラウドコンピューティング環境に欠かせないセキュリティ戦略です。クラウドアプリケーションは生産性と顧客体験の向上のためにますます重要になっており、それに伴ってサイバー犯罪者にとってより魅力的な標的となっています。しかし、クラウドセキュリティへの脅威が増大しているにもかかわらず、多くのセキュリティリーダーは、自社のクラウドサービスやアプリケーションを十分に可視化できておらず、不正なアクティビティや接続が行われる可能性が高まっていると述べています。
クラウドアプリケーションのセグメンテーションは、まずクラウド環境を広範に可視化し、次にアプリケーションを分離して不正アクセスを防止することから始めなければなりません。クラウド・ネットワーク・セキュリティに対する包括的なアプローチの一環として、クラウド内のアプリケーションをセグメント化することで、攻撃を防止しつつ、データ漏えいが発生した場合の損害を制限し、企業のセキュリティポスチャ全体を改善できます。
クラウドアプリケーションのセグメンテーションの仕組み
クラウドアプリケーションのセグメント化には通常、次の手順が含まれます。
- アプリケーションの探索:IT チームはさまざまなエージェントベースおよびネットワークベースの手法を駆使して、オンプレミスとクラウド環境間におけるアプリケーションアクティビティに関する詳細な情報を収集します。収集されたデータを整理し、ラベル付けし、可視化することで、IT チームは保護すべきアプリケーションを特定し、許可されたユーザー、アプリ、システムのみに通信とアクセスを制限するセキュリティポリシーを作成できます。
- ネットワークのセグメント化:IT チームは、VLAN、サブネット、セキュリティグループ、その他のテクノロジーを使用して、個々のアプリケーションやワークロードのネットワークセグメントを作成します。
- ポリシーの作成:マイクロセグメンテーションテクノロジーとソフトウェア定義ネットワーキング(SDN)ソリューションを使用して、チームが個々の仮想マシン(VM)とアプリケーションに対するトラフィックとワークロードをきめ細かく制御するセキュリティポリシーを開発します。
- ポリシーの適用:ファイアウォールとアクセス・コントロール・リスト(ACL)を設定することでセキュリティポリシーを適用し、セグメント間のトラフィックを制御できます。また、独自のマイクロセグメンテーションソリューションを使用して適用することもできます。このセキュリティポリシーでは、IP アドレス、ポート、プロトコル、およびその他の基準に基づいてトラフィックを許可または拒否できます。
- オーケストレーションの自動化:人工知能(AI)に加え、Infrastructure as Code(IaC)ツールと自動化フレームワークは、セグメンテーションポリシーを一貫してプロビジョニングし、設定し、適用するために役立ちます。
- ゼロトラストの導入:ゼロトラスト・セキュリティ・モデルでは、オリジンに関係なく、ユーザー、デバイス、およびアプリケーションが、アプリケーションや IT リソースへのネットワークアクセスを要求するたびに、認証と検証が求められます。セグメンテーションソリューションは、ネットワークアクセスの可視性と制御を提供することでゼロトラスト・セキュリティをサポートし、ラテラルムーブメント(横方向の移動)を活用する攻撃を防止することができます。
- トラフィックとポリシーの監視:クラウドアプリケーションのセグメンテーションを可能にするセキュリティソリューションには、ネットワーク・トラフィック・フローを追跡し、潜在的なセキュリティインシデントを特定し、セグメンテーションポリシーへのコンプライアンスを確保する監視ツールが含まれます。
クラウドアプリケーションのセグメンテーションのメリット
クラウドアプリケーションをセグメント化するテクノロジーを利用することで、組織と IT チームは次のことを行えます。
- セキュリティポスチャの強化:セグメンテーションにより、組織は個々のアプリケーションとワークロードの周囲にセキュリティ境界を構築できます。その結果、クラウドアプリケーションのセグメンテーションにより、アタックサーフェスが効果的に縮小され、ネットワークの一部に到達して他の資産を侵害しようとしている攻撃者のラテラルムーブメントが阻止されます。先進的なセグメンテーションソリューションにより、セキュリティチームはラテラルムーブメントを試みるセキュリティ上の脅威に対するアラートを早期に受信できるようになるため、インシデント対応を迅速化できます。
- 規制コンプライアンスの確保:クラウドアプリケーションのセグメンテーションは、機微な情報を分離し、厳格なセキュリティ制御を実行することで、規制要件や PCI DSS などの業界固有の基準を満たすために役立ちます。機微な情報や制限対象のデータが複数の環境やプラットフォームにまたがって存在する場合でも、マイクロセグメンテーションにより、そのような情報やデータの周囲にセキュリティ境界を作成するために必要な粒度でセキュリティポリシーを適用できるようになります。先進的なソリューションによって可視性が向上すると、規制コンプライアンス、特に規制監査プロセスに大きく貢献します。
- アプリケーションとネットワークのパフォーマンスの向上:セグメンテーションは、ネットワークの輻輳の軽減と、ネットワークセグメント内のトラフィックフローの最適化につながります。そのため、ネットワークとアプリケーションのパフォーマンス向上が実現します。
- セキュリティ管理のシンプル化:クラウドアプリケーションに最適なセグメンテーションソリューションは、IT チームがより簡単にセキュリティポリシーを作成し、適用し、管理するために必要な可視性と AI を搭載した機能を提供します。
- スケーラビリティの強化:ビジネスニーズとセキュリティ要件に基づいてアプリケーションとワークロードをセグメント化し、既存のセキュリティポリシーを新しいクラウドインスタンスに自動的に拡張できるソリューションを活用することで、セキュリティを犠牲にすることなく、クラウドインフラをより効率的にスケーリングできます。
よくあるご質問
セキュリティチームがクラウドアプリケーションをセグメント化する際に直面することの多い課題には、ハイブリッドクラウド環境の複雑さ、セキュリティ制御の誤設定、セグメンテーションの実行と維持に必要なリソースの管理、および従来のセグメンテーション方法によってアプリケーションやネットワークのパフォーマンスに生じる可能性のある悪影響の緩和に関連することが挙げられます。
Akamai が選ばれる理由
Akamai はサイバーセキュリティとクラウドコンピューティングを提供することで、オンラインビジネスの力となり、守っています。市場をリードするセキュリティソリューション、優れた脅威インテリジェンス、そして世界中の運用チームが、あらゆるところで企業のデータとアプリケーションを多層防御で守ります。Akamai のフルスタック・クラウドコンピューティング・ソリューションは、世界で最も分散されたプラットフォーム上で、パフォーマンスと手頃な価格を両立します。安心してビジネスを展開できる業界トップクラスの信頼性、スケール、専門知識の提供により、Akamai は、グローバル企業の信頼を獲得しています。