ネットワークセグメンテーションで侵入後の被害を広げない設計
対象の目安: 実務担当者 / 実務

ネットワークを一つの広い空間として運用していると、どこか一台が侵入されたとき、攻撃者はそこを足がかりに同じネットワーク上の別の端末やサーバへ次々と手を伸ばせます。攻撃者が初期の侵入地点から内部の他のシステムへ移動していく動きは、MITRE ATT&CKで横移動(ラテラルムーブメント、Lateral Movement)として整理されている攻撃の段階です(MITRE ATT&CK TA0008)。
ネットワークセグメンテーション(ネットワーク分離)は、ネットワークを用途や信頼度で区切り、区切りをまたぐ通信を制御する考え方です。区切りを設けておくと、ある区画が侵入されても攻撃者の横移動が境界で阻まれやすくなり、被害が一つの区画にとどまりやすくなります。本記事は、なぜ分けると被害が広がりにくくなるのかを起点に、分け方の単位とセグメント間の通信制御、マイクロセグメンテーションとゼロトラストの関係、そして中小規模でも始められる設計の手順を、これから取り組む運用担当向けに整理します。
区切ると横移動を境界で抑えられる仕組み
横移動は、攻撃者が最初に侵入した一台を足場に、ネットワーク内の別のシステムへ移って目的の資産に近づいていく動きです。MITRE ATT&CKは横移動を、攻撃者がネットワーク上のリモートシステムに入り込んで制御するための一連の手法として定義しています。攻撃者は正規の認証情報を使ったり、独自の遠隔操作ツールを持ち込んだりして、複数のシステムやアカウントを経由しながら目的のシステムへ到達します(MITRE ATT&CK TA0008)。
ネットワークが区切られていない場合、いったん内部に入った攻撃者は、同じネットワーク上の端末やサーバへ直接通信を試せます。横移動の足場が広く残るため、初期の一台の侵入が全体への侵入に発展しやすくなります。
ネットワークを区切り、区切りをまたぐ通信を制御しておくと、この前提が変わります。攻撃者がある区画の一台を押さえても、別の区画へ向かう通信が境界の制御で許可されていなければ、その先へは進めません。区切りが横移動の通り道を絞り、被害を初期の区画にとどめやすくする働きをします。PCI Security Standards Councilのスコーピングとセグメンテーションの手引きも、攻撃者が対象外と見なされたシステムを足がかりに別のシステムへ広げ、最終的にカード会員データのある場所へ至る経路をたどる手口を、データ侵害でよく見られる流れとして挙げています(PCI DSS Scoping and Segmentation)。ただし、同じ手引きはセグメンテーション自体が万能の解(silver bullet)ではないとも述べています。許可済みの通信や、盗まれた正規の認証情報、複数の区画から共通して使う管理経路や認証基盤などを通じた横移動は残るため、区切りは横移動できる経路と到達範囲を限る対策であって、被害を完全に封じ込めるものではありません。
VLANやサブネットで区切りACLで通信を絞る
ネットワークを区切る単位として広く使われるのが、VLAN(仮想LAN)とサブネットです。VLANは、同じ物理的なスイッチにつながっていても、論理的に別々のネットワークとして扱う仕組みで、ブロードキャストの届く範囲を分けます。サブネットはIPアドレス上で範囲を分ける区切りで、通常は一つのVLANに一つのサブネットを対応させて使います。部署ごとや用途ごとにVLANを分けてそれぞれに別のサブネットを割り当てると、区画をまたぐ通信はルーティングを経由することになり、その経路で通すかどうかを制御できるようになります。なお、同じVLANの中での端末どうしの直接通信は、この区切りだけでは制御できないため、端末側のファイアウォールや、無線のクライアント分離といった手段で別途絞ります。
区切ったセグメントの間でやり取りする通信は、ファイアウォールやACL(アクセス制御リスト)で制御します。一般的なACLは、送信元とあて先のIPアドレスやポート、プロトコルをもとに、通すか落とすかをルールで判断する仕組みで、多くは通信の状態を追わずに一つずつのパケットを評価します。通信の状態を追って戻りの通信を許可するといった制御は、ステートフルなファイアウォールが受け持ちます。ここで基本になるのが、必要な通信だけを許可し、それ以外をすべて拒否するデフォルト拒否の方針です。セグメント間でも、業務に必要な通信だけを一つずつ許可し、残りを既定で遮断すると、攻撃者が横移動に使える経路を最小限に保てます。
外部に公開するサーバを置く区画として、DMZ(非武装地帯)を設ける構成もよく取られます。Webサーバやメールサーバのようにインターネットからのアクセスを受ける機器をDMZにまとめ、内部のネットワークとは別のセグメントに分けます。DMZの機器が侵入されても、内部ネットワークへの通信が必要なものだけに絞られていれば、攻撃者がそこから内部へ踏み込む経路を抑えられます。外部から直接到達する区画と、守りたい内部の区画を分ける考え方です。
信頼度が異なる管理やゲストやIoTを分ける
区切りの効果は、信頼度の異なるものを同じ区画に同居させないことで大きくなります。代表的な分離の対象が、管理ネットワーク、ゲスト、IoT機器です。
管理ネットワークは、サーバやネットワーク機器の設定変更や監視に使う通信の経路です。業務用の一般的な通信と同じ区画に混ぜると、利用者の端末が侵入された際に、そこから管理用のインターフェースへ到達されかねません。管理用の通信を専用の区画に分け、限られた端末からしか到達できないようにすると、機器の制御を奪う経路を狭められます。
ゲスト用のネットワークは、来客や業務外の端末がインターネットに出るためのものです。社内の業務システムへ通じる経路を持たせず、外部接続だけに用途を限ると、素性の確認できない端末を業務の区画から切り離せます。
IoT機器は、ネットワークカメラやセンサーのように、更新が行き届きにくく脆弱性が残りやすい機器です。こうした機器を業務用の端末やサーバと同じ区画に置くと、機器が侵入された際の横移動の足場になります。IoT機器を専用の区画に分け、必要な通信先だけに限ると、機器を起点とした被害の広がりを抑えられます。
下の早見表は、信頼度の異なる区画と、許可する通信を絞る際の考え方の対応です。
| 区画 | 置くもの | セグメント間通信の方針 |
|---|---|---|
| 内部業務 | 社員の端末や業務サーバ | 業務に必要な宛先だけを許可 |
| DMZ | 外部公開するWebやメールのサーバ | 内部への通信は必要なものだけに限定 |
| 管理 | 機器の設定や監視の経路 | 限られた管理端末からのみ到達を許可 |
| ゲスト | 来客や業務外の端末 | 外部接続のみ、業務区画へは不許可 |
| IoT | カメラやセンサーなどの機器 | 必要な通信先だけに限定 |
中小規模でも、無線LANのゲスト用SSIDの活用や、機器の用途ごとのVLAN分けから始められます。IPAの中小企業の情報セキュリティ対策ガイドラインも、情報資産を脅威から守る技術的な対策の一つとしてネットワークの管理を位置づけています(IPA 中小企業の情報セキュリティ対策ガイドライン)。境界で広く通信を絞る土台については、関連記事で扱います。
あわせて読みたい
ファイアウォールが通信を許可と拒否で仕分ける仕組み
マイクロセグメンテーションとゼロトラストの関係
VLANやサブネットによる区切りは、ネットワークをいくつかの大きな区画に分ける方法です。これをさらに細かくし、個々のシステムや小さなグループの単位で区切る考え方が、マイクロセグメンテーションです。区切りを細かくするほど、同じ区画の中で攻撃者が横移動できる範囲が狭くなります。
この細かい区切りは、ゼロトラストの考え方と結びついています。NIST SP 800-207は、ゼロトラストを、ネットワークが侵害されているという前提のもとで、要求のたびに最小権限のアクセス判断を正確に行い、判断の不確かさを減らすための考え方の集まりとして示しています。守りをネットワークの境界という静的な位置から、利用者や資産、リソースそのものへ移すという方向づけです(NIST SP 800-207)。
NIST SP 800-207は、ネットワーク上の位置だけで信頼を与えないことを原則の一つに挙げており、通信はネットワーク上の位置にかかわらず保護され、アクセスは要求ごとに最小権限で許可されます。この原則のもとでは、ネットワークの内側に入ったというだけでは自由な通信は許されません。マイクロセグメンテーションは、リソースごとに区切りを設けてこの原則を通信の制御として実装する手段の一つにあたり、横移動できる範囲を細かく限る役割を担います。組織全体で通信を信頼の前提から見直す考え方は、関連記事で扱います。
あわせて読みたい
ゼロトラストを最小コストで取り入れる。考え方とID中心の段階導入
資産の分類から始める設計の手順
ネットワークセグメンテーションは、いきなり細かく区切ろうとすると、業務に必要な通信まで止めてしまいかねません。資産の分類から順に進めると、中小規模でも無理なく取り組めます。
セグメンテーション設計の進め方
- 1
ネットワーク上の資産を洗い出し、扱う情報の重要度や役割でグループに分類する(業務サーバ、公開サーバ、管理機器、IoT機器、ゲスト端末など)
- 2
分類した資産を信頼度や用途の近いものごとにゾーン(区画)へまとめ、どの区画とどの区画の間で通信が必要かを整理する
- 3
ゾーンの間の通信を、業務に必要なものだけ一つずつ許可し、残りをすべて拒否するデフォルト拒否で定義する
- 4
区切りが意図どおり効いているかを確認し、許可した通信で実際に業務が回るかを検証する
- 5
使われなくなった許可ルールを定期的に見直して閉じ、開ける範囲を最小限に保つ
最初から完璧な分離を目指す必要はありません。まずゲストとIoTを業務区画から切り離す、管理用の通信を分ける、といった効果の大きいところから着手し、運用しながら区切りを細かくしていく順序が現実的です。区切りを増やすほど通信の許可設計と管理の手間も増えるため、守りたい資産と許容できる運用負荷のつり合いを見ながら段階を踏みます。
ヒント
セグメンテーションは、通信の監視やサーバ自体の堅牢化、最小権限のアクセス管理とあわせて層を分けて守る前提で位置づけると効果が安定します。区切りだけに頼らず、各区画の中の備えも並行して進めます。
被害を一つの区画に閉じ込める設計は、攻撃者の到達点を減らす多層防御の一要素でもあります。多層で守る全体像は、関連記事で扱います。
あわせて読みたい
多層防御で一つの対策が破られても全体を守る考え方
横移動(ラテラルムーブメント)の定義は、MITRE ATT&CKのLateral Movement(TA0008、MITRE ATT&CK)を参照しました。ゼロトラストの定義とマイクロセグメンテーションの位置づけはNIST SP 800-207(CSRC)を、攻撃者が対象外のシステムを足がかりに重要なデータへ到達する手口はPCI DSSのスコーピングとセグメンテーションの手引き(PCI SSC)を、中小企業での技術的対策の位置づけはIPAの中小企業の情報セキュリティ対策ガイドライン(IPA)を参照しました。
ネットワークセグメンテーションは、ネットワークを用途や信頼度で区切り、区切りをまたぐ通信を必要なものだけに絞ることで、侵入された区画から別の区画への横移動を境界で抑え、被害を一つの区画にとどめやすくする設計です。資産の分類からゾーン分け、最小限の許可へと順に進めれば、中小規模でも効果の大きいところから現実的に始められます。完璧な分離を一度に目指すのではなく、信頼度の異なるものを切り離す段階から着手し、運用しながら区切りを育てていく取り組み方が、続けやすい守りにつながります。
出典・参考
関連する記事
多層防御で一つの対策が破られても全体を守る考え方
単一の対策に頼ると、そこが破られた瞬間に被害が通ってしまいます。複数の防御層を重ねて単一障害点をなくし、攻撃を各段階で止める多層防御の考え方を、入口からデータまでの層と、ゼロトラストとの関係をまじえて入門者向けに整理します。
DNSの名前解決とその安全性を支える技術
ドメイン名がIPアドレスに変換される流れと、キャッシュポイズニングなどの危うさを整理し、応答の真正性を守るDNSSECと、経路上の盗聴を防ぐDNS over HTTPS/DNS over TLSの役割の違いを、RFCやJPRSの一次情報をもとに開発者と運用担当向けに説明します。
ゼロトラストを最小コストで取り入れる。考え方とID中心の段階導入
「決して信頼せず、常に検証する」というゼロトラストの考え方を、製品の一括導入ではなく、既存環境を活かした最小コストで取り入れる進め方を解説します。ID中心の発想と、無理のない段階導入の優先順位を整理します。


