マイクロセグメンテーションは、従来のネットワークセグメントと異なり、通信相手先を限定した仕組みです。同じ物理配線に接続さていても異なる小さなセグメントを用いることで、他端末への感染を広げず、また盗聴などのリスクを回避することができます。
【詳細解説】
企業内LANにおいてネットワークセグメントが従来より使われてきましたが、LANネットワーク内に侵入したマルウェアが縦横無尽に同じネットワークへ接続されている端末へ感染を広げる場合がありました。このため、よりセキュリティ性を高め運用の容易性を高めるために現在推奨されているのが、ゼロトラスト・ネットワークアクセスの概念において基本となるマイクロセグメンテーションです。
ホテルやアパートにおいては、一つの物理的なLANケーブルで配線されていることがありますが、他端末を参照することができないように設計されていることはご存じの事と思います。
これと同じように企業においても、隣の机にある端末へアクセスできないようにセグメントを小さくしたマイクロセグメンテーションにより、セキュリティ性を高めるという施策です。
単にアクセスできないだけでなく、「接続相手先サーバの限定」「利用時間帯」「ログインユーザ情報」「利用可能サーバアプリケーションを限定」「利用可能プロトコルの限定(ALG制御)」などにより、複合的に接続を細かく制御することでサイバー攻撃に対する耐性を高めるよう構築されているのです。侵入されてもあまり活動できないという仕組みです。
戻る