マイクロセグメンテーション 【microsegmentation】

概要

マイクロセグメンテーション(microsegmentation)とは、ネットワークにおけるセキュリティ上の区画分け(セグメンテーション)を、物理的なネットワークセグメントよりも細かい単位(機器ごとや仮想マシンごと)でうこと。

一般的なネットワークセキュリティ対策ではインターネットLANの間など異なるネットワークの境界にファイアウォール機器などを設置し、ネットワーク単位で攻撃の検知や防御などをうことが多い。この方式では内部の機器が乗っ取りやウイルス感染の被害に遭うと、これを踏み台にして内部からのアクセスに無防備な他の機器を容易に攻撃可能になってしまう問題があった。

マイクロセグメンテーションは仮想化されたサーバ機を一台ずつ異なる区画に分離して扱う方式で、各サーバが他の機器との間に仮想的ファイアウォールを設けて自らを隔離したような状態となる。

サーバ内の仮想マシンVMVirtual Machine)上のシステムが何らかの被害に遭って不正に操作されても、当該サーバ上のファイアウォールによって他のVMや他の機器へのアクセスを封じ込めることができる。

これまでもWindowsファイアウォールのように各コンピュータOS上の機能として外部との通信の監視や防御をう仕組みは存在したが、これは当該システムが乗っ取られれば容易に無効化されてしまう。一方、マイクロセグメンテーションで各サーバを守るファイアウォール機能は仮想化機能によってサーバ内の各VMとは独立しているため、VM上のシステムが陥落しても直接影響を受けることはない。

ネットワークスイッチのマイクロセグメンテーション

古くは、ネットワークスイッチL2スイッチ/LANスイッチ/スイッチングハブ)の基本的な機能の一つで、各ポートごとにコリジョンドメインを分割することをマイクロセグメンテーションと呼ぶことがあった。

初期のスター型LANの中継の用いられたリピータハブは、あるポートから受信した信号をすべてのポートに単純に再送信するため、複数の機器が同時に送信を開始すると信号の衝突(コリジョン)が発生する。

これに対し、スイッチは各ポートから受信したフレームの内容を分析して宛先を認識し、関係があるポートにしか取り次がない。通信線上のコリジョンが発生しなくなるため通信速度や品質が向上し、スイッチと各機器の間で全二重通信が可能となる。

(2020.5.1更新)

他の辞典による解説 (外部サイト)

この記事の著者 : (株)インセプト IT用語辞典 e-Words 編集部
1997年8月より「IT用語辞典 e-Words」を執筆・編集しています。累計公開記事数は1万ページ以上、累計サイト訪問者数は1億人以上です。学術論文や官公庁の資料などへも多数の記事が引用・参照されています。
ホーム画面への追加方法
1.ブラウザの 共有ボタンのアイコン 共有ボタンをタップ
2.メニューの「ホーム画面に追加」をタップ
閉じる