ネットワーク構成が今までよりも頻繁に変更されるようになると、セキュリティ製品もそれに合わせて構成を変更する必要があります。集中管理システムからネットワーク機器だけでなくセキュリティ製品もあわせて制御できるようにネットワークを構築すれば、運用負荷が大幅に軽減できます。
また物理ネットワーク上に構築する自由度の高い「仮想ネットワーク」が商用化され始めています。仮想ネットワークの導入はネットワーク構成の変更が頻繁なデータセンターや大規模企業のサーバセグメントで始まると言われています。
この仮想ネットワーク中でもセグメンテーションの考え方は重要になってきます。データセンターでは一台の物理サーバに複数顧客の仮想サーバを収容しますので、その仮想サーバ間で攻撃が発生したり、情報が漏れたりするようなことがあってはいけません。企業のサーバセグメントでも、ウェブサーバに入り込んだマルウェアがデータベースサーバに侵入し情報を抜き取るような事態も起こりえます。
組織内の事務系ネットワークであれば部署ごとにセキュリティゾーンを割り当てる、というぐらいの考え方で良いと思いますが、データセンターや企業のサーバセグメントでは情報集約度が極めて高く、仮想サーバごとにセキュリティゾーンを割り当てるというぐらいのセキュリティレベルが必要になります。
まとめ
ネットワークセグメンテーションはコンプライアンス範囲を小さくし、セキュリティのための負荷とコストの軽減に役立ちます。また、データを小分けにして、攻撃面を小さくすることによりセキュアになります。またセグメントをセキュリティゾーンと考え、ゾーン間の通信を検査、制御することによって、よりセキュアなネットワークを構築することが可能になります。
- 菅原 継顕
- 米パロアルトネットワークス 日本国内で大手アンチウイルスベンダー、UTMベンダーなどでマーケティングを担当し、現在パロアルトネットワークス米国本社でシニアプロダクトマーケティングとして管理系製品、日本とアジア市場を担当。約15年、情報セキュリティに携る。
Keep up with ZDNet Japan
ZDNet JapanはFacebook、Twitter、RSS、メールマガジンでも情報を配信しています。