ランサムウェアが一台のPCに侵入した後、社内ネットワークを自由に横断して重要サーバーへ到達する——この「ラテラルムーブメント(水平移動)」が、現代のサイバー攻撃で最も損害を広げるフェーズです。境界型ファイアウォールで外部からの侵入を防いでいても、フィッシングメール一通でPCが感染すれば、そのPCから社内の別システムへ無制限に接続できてしまう。これが今の現実です。
この問題に正面から対応する技術がマイクロセグメンテーションです。ゼロトラストネットワーク実現の中核技術として、大企業から中小企業の情シスまで採用が広がっています。この記事では、仕組み・従来のVLAN分割との違い・攻撃者の横断手法・具体的な設計手順・中小企業でも取れる第一歩を、現場で使えるレベルで解説します。
マイクロセグメンテーションとは?
マイクロセグメンテーションとは、ネットワークを細かい「セグメント(区画)」に分割し、区画をまたぐ通信を許可リスト(ホワイトリスト)で厳密に制御する手法です。「許可されていないものはすべて拒否する」という原則がベースにあります。
従来のセキュリティは、社外からの攻撃を防ぐ「城壁型」の発想でした。城壁(境界型ファイアウォール)さえ超えられなければ内部は安全、という考え方です。しかし攻撃者は今、フィッシングや内部者のアカウント奪取など、城壁の「正規の門」を使って侵入します。いったん内部に入れば、城の中は無防備——これが境界型セキュリティの限界です。
マイクロセグメンテーションは、城の「内部にも仕切り壁をいくつも建てる」発想です。万一どこかの部屋に侵入されても、隣の部屋には別の鍵がかかっているため、被害範囲を封じ込められます。
ゼロトラストとの関係
ゼロトラストは「社内だから安全」という前提を捨て、すべての通信を疑うモデルです。マイクロセグメンテーションはその考え方をネットワーク層で実装する主要技術の一つです。端末認証・IDaaS・多要素認証と組み合わせて、多層的なゼロトラスト環境を構成します。
従来のVLAN分割との違い
「すでにVLANでネットワーク分割している」という企業も多いはずです。VLANとマイクロセグメンテーションの違いを整理しておきましょう。
| 比較項目 | VLAN分割 | マイクロセグメンテーション |
|---|---|---|
| 制御の粒度 | サブネット単位(数十台まとめて) | ホスト単位・アプリ単位(1台ずつ) |
| 主な制御方向 | 南北(外部↔内部)が強い | 東西(内部↔内部)を重点制御 |
| 動的なポリシー変更 | 手作業・低速 | ソフトウェア定義で迅速に変更可能 |
| 可視性 | 低い(VLAN間通信の把握が困難) | 高い(ホスト間通信をフロー単位で可視化) |
| 実装難易度 | 低い(スイッチ設定のみ) | 中~高(設計・ポリシー定義が必要) |
VLANは「部門別にネットワークを区切る」用途では今でも有効です。ただし、同一VLAN内での横断攻撃(ラテラルムーブメント)は防げません。同じVLANの中では端末同士が自由に通信できるからです。マイクロセグメンテーションはその弱点を補います。
攻撃者の「ラテラルムーブメント」を理解する
マイクロセグメンテーションが何を防ぐのかを理解するために、攻撃者がどう動くかを知っておきましょう。防御のために知る知識です。
1. 初期侵入から始まる横断の流れ
典型的な攻撃の流れはこうです。
・フィッシングメールでPCがマルウェア感染 → 攻撃者がPC上でシェルを取得
・ローカルに保存された認証情報やキャッシュを窃取(クレデンシャルダンプ)
・窃取した認証情報で社内の別システムへ接続(Pass-the-Hash攻撃など)
・管理者権限を持つサーバーを踏み台にして、ドメインコントローラへ到達
・ドメイン全体の制御権を握り、ランサムウェアを全端末へ展開
最初のPC感染からドメイン制御権奪取まで、熟練した攻撃者なら数時間から数日で完了します。
2. ラテラルムーブメントに使われる主なプロトコル
攻撃者が社内横断で悪用するプロトコルを把握しておくと、制御ポリシーの設計に役立ちます。
・SMB(445/tcp): Windowsファイル共有。PsExec・WMI経由でリモート実行に使われる
・RDP(3389/tcp): リモートデスクトップ。直接の遠隔操作に悪用
・WinRM(5985/tcp): PowerShellリモート実行に使われる
・SSH(22/tcp): Linuxサーバー間の横断
・LDAP(389/tcp): Active Directoryへの情報照会
マイクロセグメンテーションでは、これらのプロトコルを「業務上必要な通信だけ許可し、それ以外は拒否」するポリシーで封じます。
マイクロセグメンテーションの実装方式3種
実装方式は大きく3つに分類されます。予算・環境・スキルに応じて選択します。
1. ホストベース(ソフトウェア定義)方式
各サーバー・端末にエージェントをインストールし、ホスト自体のファイアウォールをソフトウェアで一元管理する方式です。ネットワーク機器の改修が不要なため、クラウド・オンプレミス混在環境でも導入しやすいのが特徴です。
商用製品としてはIllumio(イルミオ)、VMware NSX、Akamai Guardicore(現Akamai Segmentation)などが代表的です。
Windowsのみの環境なら無償で実現できる方法もあります。グループポリシー(GPO)で各PCの「Windowsファイアウォール」ルールを一元配布すれば、エージェント製品なしでも基本的なホスト単位の制御が可能です。ただしポリシー管理の手間は商用製品より増えます。
2. ネットワークベース(次世代ファイアウォール・SDN)方式
内部ネットワークに次世代ファイアウォールを設置し、VLAN間やセグメント間の東西通信をL7(アプリケーション層)で制御する方式です。Palo Alto Networks・Cisco Secure Firewallなどが使われます。
SDN(Software Defined Networking)コントローラを使う方法もあり、スイッチ・ルーターのフロー制御を一元管理できます。大規模なデータセンター向きで、導入コストは高くなります。
3. クラウドネイティブ方式
AWS・Azureなどのパブリッククラウドには、マイクロセグメンテーションに相当する機能がネイティブに備わっています。
・AWS: セキュリティグループ(インスタンス単位でのステートフル制御)
・Azure: ネットワークセキュリティグループ(NSG)
・GCP: VPCファイアウォールルール
これらは「許可ルールのみ設定、それ以外は暗黙の拒否」という設計になっており、マイクロセグメンテーションの考え方と一致しています。クラウド環境では追加コストなしで実装できるため、まずここから始めるのが現実的です。
設計の3ステップ
どの方式を選ぶにしても、設計の手順は共通しています。段階を踏まずにいきなり制御を入れると、業務通信を誤って遮断するリスクがあります。
1. 資産インベントリの取得
まず「社内にどんなシステムが存在するか」を把握します。意外に多いのが、IT部門が把握していないサーバー・機器(いわゆるシャドーIT)です。
# 内部ネットワーク(例: 192.168.1.0/24)のホストスキャン sudo nmap -sn 192.168.1.0/24 # OS・ポート情報の詳細スキャン(テスト環境で実施すること) sudo nmap -O -sV 192.168.1.0/24
スキャン結果を台帳(スプレッドシートでも可)に記録し、各ホストの役割・担当部門・重要度を付記します。
2. 通信フローの可視化
次に「どのシステムが、どのシステムと、どのポートで通信しているか」を可視化します。これを事前に把握せずにポリシーを入れると、業務通信を遮断してしまいます。
・NetFlow/sFlow: ルーター・スイッチのフロー情報を収集・分析
・パケットキャプチャ: tcpdump・Wiresharkで特定セグメントの通信を観察
・エージェント型製品: IllumioやGuardicoreは自動で通信マップを作成してくれる
・クラウド: AWSのVPCフローログ、AzureのNSGフローログを活用
# Linuxサーバーで確立済みのTCP接続を確認 ss -tnp state established # 特定インターフェースの通信をキャプチャ(eth0を5分間) sudo tcpdump -i eth0 -w /tmp/capture.pcap -G 300 -W 1
通信フローの可視化は最低でも1週間分のデータを取ることをすすめます。月次バッチ処理など、普段は見えない通信パターンを取りこぼすリスクを減らせます。
3. ポリシーの定義と段階的適用
可視化した通信マップをもとに、「許可する通信の一覧(許可リスト)」を定義します。設計のポイントは以下の通りです。
・業務サーバーは役割別にグループ化: 「Webサーバー群」「DBサーバー群」「管理サーバー群」など
・通信は最小限に絞る: WebサーバーはDBの特定ポートにのみ接続可、DBはWebサーバーからの接続のみ受け付ける、など
・管理系プロトコルは踏み台経由に限定: RDP・SSHは踏み台サーバーからのみ許可
・端末間の直接SMB通信は原則禁止: ラテラルムーブメントの主経路を遮断
ポリシーはまず監視モード(ログのみ・遮断なし)で適用し、業務に問題がないことを確認してから適用モード(遮断あり)へ移行します。いきなり遮断モードから始めるのは事故のもとです。
中小企業でも今日からできること
「フルのマイクロセグメンテーションはハードルが高い」という企業でも、以下の対策はすぐ始められます。
・端末間のSMB通信を遮断する: Windows PCのファイアウォールで「445番ポートへのインバウンドをプライベートネットワークから遮断」するグループポリシーを配布する。ラテラルムーブメントの最大の経路を塞ぐだけで効果は大きい
・RDP接続を踏み台サーバー経由に限定する: すべてのサーバーへの直接RDPを禁止し、踏み台(ジャンプサーバー)経由に一本化する。踏み台には多要素認証を必須にする
・クラウドのセキュリティグループを見直す: 「0.0.0.0/0(全許可)」のインバウンドルールが残っていないか確認し、不要なポートを閉じる
・VLANを活用した粗粒度の分割から始める: 「サーバー用」「一般PC用」「IoT機器用」の3つのVLANに分けるだけでも、侵害の横断範囲を大幅に制限できる
最初から完璧な設計を目指す必要はありません。「SMBの直接通信を遮断する」「RDPを踏み台経由にする」この2つだけでも、ランサムウェアの横断を大幅に遅らせる効果があります。
姉妹サイトLinuxMaster.JPでは、Linux環境でのファイアウォール設定(firewalld・nftables)を詳しく解説しています。Linuxサーバー側の東西制御と組み合わせることで、より堅固なセグメンテーションが実現できます。
よくある誤解と注意点
【誤解1】マイクロセグメンテーションを入れれば「ゼロトラスト完成」ではない
マイクロセグメンテーションはゼロトラストのネットワーク層を担う技術です。IDaaS・多要素認証・エンドポイント保護・SOCによる監視と組み合わせて初めて機能します。単体での導入は「ゼロトラストの一部」に過ぎません。
【誤解2】一度設定すれば終わりではない
ビジネスの変化に伴いシステムは増減します。新しいサーバーを追加するたびにポリシーを見直さないと、「許可されていない通信が自然発生する」か「新サーバーだけ無防備」になります。ポリシーのライフサイクル管理が欠かせません。
【誤解3】VLANは廃止しなくてよい
マイクロセグメンテーションを導入してもVLANは廃止不要です。VLAN(レイヤー2の分割)とマイクロセグメンテーション(ホスト単位の制御)は補完関係にあります。VLANを基盤にしつつ、その上でマイクロセグメンテーションを重ねるアーキテクチャが現場では一般的です。
【注意】ポリシーの誤設定は業務停止につながる
許可リスト方式の制御は強力ですが、「必要な通信を誤って遮断する」リスクも伴います。段階的な適用(監視モード→適用モード)と、変更時のロールバック手順の整備は必須です。
本記事のまとめ
マイクロセグメンテーションについて整理します。
| ポイント | 内容 |
|---|---|
| 目的 | ラテラルムーブメント(横断攻撃)を封じ込め、被害範囲を最小化する |
| VLANとの違い | ホスト単位の東西制御が可能。VLANと組み合わせて使うのが現実解 |
| 実装方式 | ホストベース(エージェント)・ネットワークベース(NGFW・SDN)・クラウドネイティブの3種 |
| 設計手順 | ①資産インベントリ → ②通信フロー可視化 → ③ポリシー定義(監視モードから段階適用) |
| SMBの中小企業向け第一歩 | 端末間SMB遮断+RDP踏み台集約の2点で大部分のラテラルムーブメントを防止 |
ランサムウェアや標的型攻撃の多くは、侵入後の横断フェーズで被害を拡大します。マイクロセグメンテーションはその横断を物理的に止める壁です。まずできる範囲の一手から始め、段階的に制御を強化していくことをすすめます。
社内ネットワーク、侵入後の横断を防ぐ設計になっていますか?
ラテラルムーブメントへの対策は、境界型防御では追いつかない時代になっています。
正しいセキュリティ知識を体系的に身につけたい方へ、メルマガで実践的なセキュリティ対策ノウハウをお届けしています。
