网络隔离とは

本文约需 2 分钟阅读

ネットワークセグメンテーションとは、組織のネットワークを 論理的または物理的に複数のセグメント (区画) に分割し、 セグメント間の通信をファイアウォールやアクセス制御リストで制限する手法です。 攻撃者が 1 つのセグメントに侵入しても、他のセグメントへの 横展開 (ラテラルムーブメント) を防ぐことで被害を局所化できます。 2025 年現在、ゼロトラストアーキテクチャの普及に伴い、 マイクロセグメンテーションの導入が加速しています。

現場での使用例

「ランサムウェアが経理部門の端末に感染しましたが、 VLAN によるセグメンテーションのおかげで、 開発環境や本番サーバーへの横展開を防げました。 感染範囲が 1 セグメントに限定されたことで、 復旧作業も 4 時間で完了しています。」

ネットワーク分割概念図

セグメンテーションの手法

物理的セグメンテーションは専用のスイッチやルーターで ネットワークを分離する方法で、最も確実ですがコストが高くなります。 VLAN (仮想 LAN) による論理的セグメンテーションは、 1 台のスイッチ上で複数のネットワークを分離でき、柔軟性に優れます。 マイクロセグメンテーションはゼロトラストの 考え方に基づき、ワークロード単位で通信を制御する最新のアプローチです。ネットワーク設計の入門書 (Amazon)で体系的に学べます。

実務での設計ポイント

PCI DSS では、カード会員データを扱うシステムを 他のネットワークから分離することが要件として定められています。 一般的な設計では、サーバーセグメント、ユーザーセグメント、DMZ、管理セグメントの 4 区画を基本とし、 業務要件に応じて細分化します。 セグメント間の通信ルールは「デフォルト拒否」を原則とし、 必要な通信のみを明示的に許可するホワイトリスト方式が推奨されます。 パスつく.com で生成した強力なパスワードでネットワーク機器の 管理コンソールを保護し、セグメンテーションルールの不正変更を防ぎましょう。ゼロトラストネットワークの書籍 (Amazon)も参考になります。