ネットワークセグメンテーションとは?

ネットワーク セグメンテーションの概念はしばらく前から存在しています。 ネットワーク セグメンテーションの最も単純な形式は、組織の内部ネットワークをインターネットの他の部分から分離することです。

この境界を定義することで、組織の機密データをネットワーク内に残すと同時に、潜在的な脅威をネットワーク外に保持するように設計された、境界に重点を置いたセキュリティポリシーを構築できます。 ただし、組織は、ネットワーク内に追加の内部境界を定義することで、セキュリティとアクセス制御を向上させることができます。

デモをリクエストする IDC IoTセキュリティガイド

ネットワークセグメンテーションとは?

ネットワークセグメンテーションの内部構造

ネットワーク セグメンテーションは、いくつかの異なる方法で実行できます。 一般的なアプローチの 1 つは、ファイアウォールのセグメンテーションです。 このアプローチでは、組織は目的のネットワーク境界にファイアウォールを展開し、物理リンクまたは仮想ローカル エリア ネットワーク (VLAN) を介してネットワークを設計し、境界を越えるすべてのトラフィックがそのファイアウォールを介してルーティングされるようにします。

 

境界を越えるトラフィックに対する完全な可視性と制御をファイアウォールに提供することで、組織はその境界に対してアクセス制御を適用できます。 事前定義されたルールに基づいて、ファイアウォールはさまざまな種類のトラフィックを許可またはブロックできます。 これらのルールは、ネットワーク セグメントへのアクセスを特定のユーザーまたはアプリケーションに制限したり、特定の種類のトラフィックが境界を越えるのをブロックしたりできます。

 

ソフトウェア定義ネットワーク (SDN) を使用すると、組織はマイクロセグメンテーションを実装することもできます。 マイクロセグメンテーションは、従来のネットワークセグメンテーションのように複数のエンドポイントの規模で作業するのではなく、個々のワークロードを互いに分離することで、セグメンテーションの粒度を高めます。 この追加の粒度により、組織により高いレベルのネットワークの可視性と制御が提供されるため、ネットワーク セグメンテーションの利点が増幅されます。

なぜネットワークセグメンテーションが必要なのか?

すべてのトラフィックが企業ネットワークに出入りすることを許可された場合、サイバー攻撃が成功する確率は指数関数的に増加します。 組織の境界ファイアウォールは、外部からの攻撃に対する防御の最前線として機能します。

 

ただし、組織は内部ネットワークセグメンテーションを実装することで大きなメリットを享受することもできます。 ネットワーク セグメンテーションの主な利点には、次のようなものがあります。

 

  • Increased Visibility: ファイアウォールは 、通過するすべてのトラフィックを組織に可視化します。 組織のネットワークが細分化されればされるほど、組織の内部ネットワークトラフィックの可視性が高まります。
  • 多層防御: 組織の境界防御は、ネットワークに侵入する多くの脅威を検出してブロックするのに役立ちますが、すべてを捕捉することはできません。 重要な資産と外界の間に複数のネットワーク境界を追加することで、侵入を検出して対応する機会が増えます。
  • アクセス制御の改善: ネットワーク セグメンテーションを実装するファイアウォールは、アクセス コントロール ポリシーを適用できます。 これにより、組織は知る必要性に基づいて ネットワークアクセスを制限 できます。
  • 制限された横方向の動き: サイバー犯罪者は通常、ユーザーのワークステーションを侵害し、重要なシステムにアクセスして目的を達成するためにネットワーク内を移動する必要があります。 ネットワーク セグメンテーションでは、これを実現するのがより困難になり、セグメントの境界を越えようとするときに検出される可能性が高くなります。
  • インサイダー脅威管理: 境界ベースの防御は、外部の脅威を検出するのに効果的ですが、悪意のある内部関係者には見えません。 内部ネットワークのセグメンテーションにより、悪意のある従業員や侵害されたアカウントを可視化し、脅威を検出します。
  • ネットワークパフォーマンスの向上: ネットワーク セグメンテーションは、組織のイントラネットを、定義された役割を持つ個別のセグメントに分割します。 これにより、ネットワークの輻輳が軽減され、パフォーマンスが向上します。
  • 重要なシステムの保護。 産業用制御システム(ICS)などの一部のシステムには非常に高い可用性要件があり、更新やサイバー脅威からの保護が困難になっています。 ICS セキュリティ のベスト プラクティスには、潜在的な脅威にさらされる可能性を最小限に抑えるために、分離されたネットワーク セグメントに配置することが含まれます。
  • 信頼できないシステムの分離。 多くの組織にはパブリック ゲスト ネットワークがあり、ビジネス モノのインターネット (IoTデバイス) の使用が増加しているため、エンタープライズ ネットワーク上に安全で信頼できないデバイスが多数導入されています。 これらのデバイスを別のネットワーク セグメントに分離することは、 IoT セキュリティ のベスト プラクティスであり、エンタープライズ ネットワークの結果にもたらす脅威を制限します。
  • 規制コンプライアンスの簡素化: 規制コンプライアンス監査の範囲には、通常、保護されたデータにアクセスできるすべてのマシンが含まれます。 ネットワーク セグメンテーションは、機密情報や保護情報を特定のネットワーク セグメントに含めることで、この範囲を制限し、規制コンプライアンスの責任を簡素化します。

ネットワークセグメンテーションによるゼロトラストの実装

ネットワーク セグメンテーション ポリシーの実装は、 ゼロ トラスト セキュリティ ポリシーに向けた重要なステップです。 ゼロトラストセキュリティは、従業員の職務に基づいてアクセス制御ポリシーを適用する機能に依存しています。 ネットワーク セグメンテーションは、トラフィックを検査し、これらのアクセス制御を適用および適用できる境界を作成します。

 

チェック・ポイントの次世代ファイアウォール は、ネットワーク セグメンテーションを実装するための理想的なソリューションです。 コンテンツ検査やアクセス制御の実施を提供するだけでなく、セグメント境界を越えようとする悪意のあるトラフィックを特定してブロックするためのさまざまな脅威検出ソリューションも組み込まれています。 チェック・ポイントのソリューションの詳細については、 お問い合わせください。 次に、 デモをリクエスト して、チェック・ポイントのNGFWの機能をご自身でお確かめください。

×
  Feedback
このWebサイトでは、機能、分析、およびマーケティング上の目的でCookieを使用しています。本Webサイトの使用を継続した場合、Cookieの使用に同意したことになります。詳細については、Cookieについてのお知らせをご覧ください。
OK