マイクロセグメンテーションとは？メリットや課題、実装例

マイクロセグメンテーションとは、ネットワークだけでなく個々のデバイスやユーザー、アプリケーションに至るまで、きめ細かいアクセス制御を行うことができるセキュリティ技術の1つです。

分かり易い例で説明すると大型の船舶には水密区画というものがあり、船の内部を細かく区画に分けています。これにより船体の一部が浸水したとしても被害を局所化し船全体が沈没しないようにすることができます。

マイクロセグメンテーションはこの水密区画と同様の考え方です。企業のネットワークに何らかの手段で侵入されたとしても、きめ細やかなアクセス制御を講じることによって影響範囲を最小化し、事業継続性を維持することにつながります。

なお、ラテラルムーブメントとは、メールの添付ファイルやWebサイト上の不正プログラム、マルウェアを含んだUSBの接続などによって、PCやサーバーなどに侵入した脅威が、ネットワーク内を横移動して侵害範囲を拡大していくことを指します。

マイクロセグメンテーションによって、許可されたデバイスやユーザーのみが特定のセグメントにアクセスする仕組みを構築できるため、ユーザーは高いセキュリティ対策が適用された環境で通常の業務を継続することができます。

また、クラウド・コンテナ環境などのように、構成が複雑化しやすく、変化しやすい領域への制御を容易にします。加えてエージェントをインストールすることでGW（ゲートウェイ）が通信を制御する一極集中型から、個々のデバイスが通信制御する環境への移行も実現可能です。

従来のセグメンテーションでは、ネットワーク全体をいくつかの利用用途に区分けして、ファイアウォールやUTM境界に設置したり、VLAN^※1などを用いて社内のネットワークに論理的な境界を設けることで、企業のデータや資産を保護していました。

この手法では、ファイアウォールやVLANなど機器毎に適切な設計と管理の維持が必要になります。そのため、インターネットと企業内部ネットワークの境界防御だけで保護対策としている環境も少なくありません。このような環境は結果として不正な手段を用いて脅威が企業のネットワーク内に侵入した場合、ネットワーク内部でリスクを検知・遮断することができません。

一方、マイクロセグメンテーションではデバイスやユーザー、アプリケーションなど、より細かい単位で境界線を設けて可視化して論理的に制御することが可能である点が、従来のネットワーク単位で境界線を設ける手法との大きな違いです。管理運用の仕組み上、可視化と制御が内部ネットワークを完全に信頼するのではなく、内側に細かく境界線を設けることができるので、脅威による侵害範囲の拡大を防ぐという考え方です。

さらに、IPアドレスだけでなく「営業部PC」や「本番環境」などラベル（言葉によるグルーピング）によるセグメンテーションが可能であるため、より柔軟な制御ができる点も特徴として挙げられます。

※1 VLAN（Virtual LAN）…1つのネットワークを論理的に分割する仕組み。

マイクロセグメンテーションが求められる背景として、リモートワークの普及やクラウドサービスの利用拡大、悪意ある攻撃者による攻撃手段の変化が挙げられます。

クラウドサービスの利用が普及する以前、企業の情報資産は基本的に社内サーバーなどに保管され、アクセスするデバイスもオフィス内に限られていました。そのため、ネットワークの境界にファイアウォールを設置する「境界型防御」でセキュリティが担保されていました。

しかし、働き方改革などによってリモートワークが広がり、社内ネットワークを使わず、社外からクラウド上のデータベースにアクセスする形態へと移行する企業が増加しています。

その結果、社内ネットワークの外側に企業の情報資産が置かれるようになり、悪意ある攻撃者により狙われる攻撃個所や手法が変化することで、従来のファイアウォールだけでは十分に防御できない状況が生まれました。

そこで、「何も信頼しない」ことを前提としたセキュリティの概念「ゼロトラストセキュリティ」が注目されるようになったのです。マイクロセグメンテーションは、ゼロトラストを実現する1つのアプローチとして導入が進んでいるといえます。

関連リンク
ゼロトラストとは 基本概念と実現のポイント｜新しい働き方とDX時代に向けて

ここからは、マイクロセグメンテーションを導入するメリットについてさらに詳しく見ていきましょう。

マイクロセグメンテーションの導入によって、ランサムウェアのラテラルムーブメントを抑止する効果が期待できます。独立行政法人情報処理推進機構（IPA）の「情報セキュリティ10大脅威 2025 組織編」によると、「ランサム攻撃による被害」が組織向け脅威として1位に挙げられています。

ランサムウェアとは、企業のサーバーやPCに侵入後、端末をロックしたり、データを暗号化・窃取したりし、復元と引き換えに金銭や暗号資産などの対価を要求するマルウェアの一種です。その攻撃手口は多様化しており、VPN^※2機器の脆弱性を突いた侵入や、不正なプログラムが埋め込まれたWebサイト、メールの添付ファイルなどを通じて行われます。

内部ネットワークに侵入すると、攻撃者は遠隔操作によって権限情報などを窃取しながら、複数の端末やサーバーに感染を広げるため、企業全体の業務を停止に追い込むような被害を引き起こすリスクがあります。

ランサムウェアの侵入経路は多岐にわたり、すべての攻撃手口を事前に防ぎ切るのは困難であることから、侵入を前提とした対策を講じることが重要です。

マイクロセグメンテーションは、ランサムウェアのラテラルムーブメントを抑止する有効な手段の1つです。デバイスやユーザー、アプリケーションなど細かな単位で境界を設けることで、たとえ侵入を許しても、攻撃の横展開を防ぎ、被害を最小限に抑えられるでしょう。

※2 VPN（Virtual Private Network）…離れた拠点間を仮想の専用線でつないで通信できるようにする仕組み

参考：情報セキュリティ10大脅威 2025 組織編｜独立行政法人情報処理推進機構（IPA）（PDF/1,562KB）

マイクロセグメンテーションでは、ユーザーやデバイス、アプリケーションなど、細かく定義づけたセグメントごとにセキュリティポリシーを個別に設定することが可能です。

現在、企業のネットワークは複雑化していて、情報資産が点在しているケースも多く、管理の困難さに直面している企業も多いでしょう。たとえば、クラウドとオンプレミスが混在したハイブリッド環境では、従来の境界型防御で一律に保護するのは難しいといえます。

そこで、目的や用途に応じてラベル付けした細かいセグメント単位でアクセス制限やルールを個別設定することで、デバイスが存在する環境を問わず、従来よりも容易に効率的なセキュリティ強化を行えると考えられています。

マイクロセグメンテーションの製品によっては、ネットワーク内の通信をリアルタイムで可視化・監視できる機能を備えています。

たとえば、Webサーバーやプロキシーなど、社内でトラフィックが集中しやすいセグメントでは、本来の意図しない通信が発生していても、大量のアクセス通信に埋もれて見逃している可能性があります。また可用性を重視するあまり通信許可が広く可視化が不十分になりがちです。その結果、侵入したマルウェアなどによる偽装通信を見逃してしまうリスクがあります。このように、従来の手法では、外部からの攻撃や内部からの不正通信を正確に検知することが難しいという課題がありました。

マイクロセグメンテーションの導入によって、各セグメントにアクセスできる通信を制限し、許可された通信のみがアクセスできる仕組みを構築できます。さらに、通信の可視化を高度化すれば、通信元のプログラムまで判別して制御でき、企業が信頼していないプログラムやマルウェアなどによる不正通信を遮断することも可能です。

ゼロトラストの考えにもとづき通信が行われるたびに検証が行われるため、不正アクセスが起こった場合でも、早期発見や封じ込めなど適切な対応が可能になり、被害の最小化につながるでしょう。

ここからは、マイクロセグメンテーションの実装例を具体的に挙げます。

過去、悪意ある攻撃者により不正アクセスやマルウェアに利用されてきたリスクの高い通信ポートが複数存在します。はじめに保護したいシステムやネットワーク環境に対して既知のリスクある侵入経路を事前に制御しておくことでラテラルムーブメントの被害を最小化することができます。

またSSH（Secure Shell）やRDP（Remote Desktop Protocol）といったシステム管理者が利用するポートや接続経路に関して、接続許可する条件を端末条件やラベルを付与して制限することで、可用性を維持しながらセキュリティポリシーで制御することが可能になります。

アカウント情報を一元管理するシステムや、企業の重要情報が保存されたシステムは悪意ある攻撃者からよく狙われる対象となっています。

保護対象システムに対して従来通りの通信許可・拒否だけでなく、利用を許可するアプリケーションについて、実行プログラム単位に絞り込んだ制御をマイクロセグメンテーションで行うことが可能です。この方法により、たとえ企業ネットワーク内部に侵入されたとしても、マルウェアによる感染活動や悪意ある攻撃者により詐称された通信を防ぎ、重要情報を保護することが可能です。

政府や業界団体がセキュリティガイドラインを制定している場合、企業は推奨するベストプラクティスや要件に準拠する必要があります。

たとえば金融業界では、早くからマイクロセグメンテーション・ソリューションの検討・導入が進められており。特に海外の金融機関ではマイクロセグメンテーションの導入が完了している金融機関がいくつか存在します。

日本においては2024年に金融庁が「金融分野におけるサイバーセキュリティガイドライン」を発表しました。そのなかで、サイバー攻撃の被害拡大を阻止するためには、マイクロセグメンテーションによる対策が有効だと読みとれる文面が記載されています。現在、国内の大手金融機関や保険会社からのPoC^※4やRFP^※5においてマイクロセグメンテーションが含まれるようになってきています。

マイクロセグメンテーションは、医療や製造、重要インフラなどの分野でも、機密情報を含むデータ保護、不正アクセス防止と事業継続性の観点から、各業界に貢献すると考えられています。

※4　PoC…Proof of Concept（概念実証）：新たなアイデアや技術などの実現可能性を検証・評価するプロセス。
※5　RFP…Request for Proposal（提案依頼書）：適切なシステム提案を開発事業者から受けるために必要な書類。

マイクロセグメンテーションの導入によって、セキュリティ・ガバナンス強化と、運用負荷・コストの抑制が期待できます。

従来のセグメンテーションでは、たとえばオンプレミス環境のデータセンターとクラウド、「国内拠点」「国外拠点」など複数のロケーションが存在している場合、セキュリティポリシーの統一および管理が困難です。各ロケーションに導入しているセキュリティ対策機器が異なるとアーキテクチャの違いによって抜け漏れが生じやすく脅威⁻侵入時の対策を複数講じることにコストと時間も必要になります。

ここからは、マイクロセグメンテーションを導入する際の課題について解説します。

マイクロセグメンテーションは、デバイスやユーザー、アプリケーションなどの細かい単位で制御可能なセグメントの定義づけを行えます。しかし企業のネットワークやシステムが導入当初の設計から複雑化していくなかで、まずは現状とのギャップを把握する必要があります。そのうえで守るべき情報資産の優先順位を明確にすることが重要です。

細かすぎると管理対象が増えて業務が煩雑になり、逆に大まかに区切るとセキュリティの強化にはつながりません。

そこで、専門家によるアドバイスが必要になると考えられます。

マイクロセグメンテーションの製品導入後、適切なセグメンテーションの継続と監視、セキュリティポリシーの継続的な見直しなど、日々の運用管理が不可欠であるため、専門的な知識や経験が必要です。

ノウハウ不足のまま運用を行っていると、効果的なセグメンテーションが崩れ、脅威への適切な対処ができなくなるリスクも想定されるため、導入時だけでなく運用段階も含めて準備を進めることが大切だといえます。

NTTドコモビジネスは、「Akamai Guardicore Segmentation」を中心に、お客さまニーズに最適な各種マイクロセグメンテーションソリューション製品の導入支援が可能です。

「Akamai Guardicore Segmentation」などの製品によって、デバイスやアプリケーションなどきめ細かい単位でセグメントを定義づけられ、柔軟なポリシー作成と適用ができます。また、ネットワーク内でランサムウェアなどのラテラルムーブメントを阻止し、リアルタイムの履歴表示によって分析ができ、ゼロトラストの概念にもとづいた情報セキュリティ対策の構築を支援します。

端末へのエージェント導入を中心としていますが、エージェントが導入できない環境では、通信が集約するネットワーク機器やクラウド基盤とAPI連携して通信を可視化・マッピングし、潜在的なリスクを検知する環境の構築が可能です。

「Akamai Guardicore Segmentation」などの製品導入に向けた検証対象や成功基準の策定、お客さま環境の確認、各コンポーネントの設定、検証結果への評価など、運用・改善に必要なノウハウをご提供しています。

「外部からの攻撃による不正通信を検知できない」「内部侵入したマルウェアを検出し、遮断する仕組みを構築したい」などの課題がある場合は、まずNTTドコモビジネスにご相談ください。

本記事では、マイクロセグメンテーションの基本にはじまり、導入メリット、実装例や企業が直面しやすい課題について紹介しました。近年、サイバー攻撃の高度化やネットワークの複雑化が進むなかで、通信をきめ細かく制御し、被害の拡大を防ぐマイクロセグメンテーションの重要性が高まっています。

ネットワーク設計や、継続的な監視・運用ノウハウの支援を必要とされている企業は、ぜひ一度NTTドコモビジネスにご相談ください。

企業のニーズに最適なマイクロセグメンテーションソリューション製品の導入支援をはじめ、運用・改善に必要なノウハウを用いて伴走します。