境界型防御の限界と、ランサムウェアの横展開を防ぐ「マイクロセグメンテーション」という最適解
投稿者:セキュリティ&ネットワーク事業本部 セキュリティ担当 久保田
近年、VPN等の脆弱性を突いたランサムウェア被害が、依然として深刻な状況が続いています。従来の「境界型防御」では防ぎきれない今、侵入を前提に被害を最小化する「マイクロセグメンテーション」の仕組みと重要性を解説します。
1.昨今のセキュリティ情勢と「境界型防御」の限界
2.ランサムウェアが引き起こす「ラテラルムーブメント」の脅威
3.「マイクロセグメンテーション」とは
4.マイクロセグメンテーションの実装アプローチ
5.導入への現実的なファーストステップ
6.まとめ
1. 昨今のセキュリティ情勢と「境界型防御」の限界
近年のサイバーセキュリティ被害において、依然として最大の脅威となっているのがランサムウェアです。
その代表的な侵入経路として挙げられるのが、VPN(仮想プライベートネットワーク)やRDP(リモートデスクトッププロトコル)の悪用です。これらは、機器の未修正の脆弱性や、推測されやすい脆弱なパスワード、管理の手薄なアカウントなどを突かれてネットワーク内部への侵入を許す原因となっています。
警察庁が発表した「令和7年警察白書」のデータ(2024年の統計含む)を見ても、ランサムウェア関連の被害報告件数は減少傾向を見せることなく、高止まりの状態で推移し続けています。
出典:令和7年警察白書 第3章:安全なサイバー空間の確保
https://www.npa.go.jp/hakusyo/r07/pdf/06_dai3sho.pdf
ひとたびランサムウェアの被害に遭うと、業務システムや生産ラインが完全に停止せざるを得ない状況に追い込まれ、企業の社会的信用や数億円規模の経済的損失など、甚大な影響が発生します。
「最初からVPNやRDPでの攻撃を完全に防ぐことができれば問題はないはずだ」
これは誰もが考えるセキュリティの基本であり、従来の「境界型防御」という考え方です。社内ネットワークを「安全な領域(内側)」、インターネットを「危険な領域(外側)」と定義し、その境界線にファイアウォールやVPNゲートウェイといった強固な“壁”を築く手法です。
しかし、現実としてセキュリティ被害の件数は減っていません。それどころか、境界型防御に頼り切ったネットワークこそが、ひとたび突破された際に致命的な被害を受ける原因となっています。これには、主に2つの決定的な要因があります。
原因1:DX・クラウド移行による「境界線」そのものの消滅
かつては「社内のデータセンター」にすべての重要資産が集まっていましたが、現代は違います。AWSやAzureをはじめとするクラウドサービス(IaaS/PaaS)の利用、Microsoft 365やSalesforceなどのSaaSの普及により、守るべきデータはすでに「社外(境界の外側)」に分散しています。 さらに、リモートワークの定着によって、従業員は自宅や外出先などあらゆる場所からアクセスします。守るべき境界線そのものが曖昧、あるいは消滅しているため、境界に壁を立てるというアプローチ自体が構造的に破綻しつつあるのです。
原因2:ネットワーク内部における「信頼の過信」
境界型防御の最大の弱点は、「内側に入ったアクセスは、すべて善意のユーザー(安全)である」と無条件に信頼してしまう点にあります。 これは、城の頑丈な正門を突破されたり、偽の通行証(盗まれた認証情報)で中に入り込まれたりした場合、城内での泥棒の動きを誰も監視・制限していない状態と同じです。現在のランサムウェアは、この「内側の信頼」を悪用して活動するため、一度の侵入が全社的な破滅へと直結します。
従来の対策は「100%侵入を防ぐ」という前提でしたが、現代のセキュリティは「すでに侵入されているかもしれない(いつ侵入されてもおかしくない)」という前提に立って再構築しなければなりません。
2. ランサムウェアが引き起こす「ラテラルムーブメント」の脅威
では、境界型防御が突破された後、実際にネットワークの内部ではどのような被害が拡大していくのでしょうか。典型的なランサムウェア攻撃のシナリオを、図の流れに沿って具体的に見てみましょう。
① グループ会社・海外拠点での「初期侵入」
多くのケースにおいて、攻撃者は本社の強固なセキュリティを正面から破るのではなく、管理の手薄になりがちな「グループ会社」や「海外拠点」のVPN機器の脆弱性などを突いて最初の足がかり(初期侵入)を得ます。ここがすべての脅威のスタート地点となります。
② 社内ネットワークを介した「一般端末・管理者端末への感染拡大」
ひとたびグループ会社のネットワークへ侵入した攻撃者は、「社内ネットワーク(境界の内側)は安全である」という前提を悪用し、本社のネットワークへと繋がる通信経路を探索します。
そこからまず、本社内の「一般端末」へと感染を広げ、さらに社内システムの強力な権限を持つ「管理者端末(Admin)」の認証情報を奪取するなどして、社内での支配権をじわじわと拡大(ラテラルムーブメント)させていきます。
③ データセンターの「サーバセグメントへの横感染」
管理者権限や社内ネットワークの自由な移動ルートを手に入れた攻撃者は、最終目的である「データセンター」へと到達します。
本来であれば厳重に守られているはずの「サーバセグメント」へと侵入し、業務の核となる「重要サーバ」間で次々と通信を発生させて横感染(マルチキャストや各種プロトコルを悪用した暗号化の連鎖)を引き起こします。
この一連の「ラテラルムーブメント」の恐ろしい点は、最初の攻撃を受けた場所(グループ会社)と、最終的に甚大な被害が出る場所(本社のデータセンター)が物理的・組織的に離れていることです。
そのため、グループ会社側での検知や本社への連絡が遅れ、本社の重要システムが次々と暗号化されて画面に身代金要求(ランサムノート)が表示されて初めて事態に気づく、という最悪のパターンに陥ります。気づいた頃には、すでに全社の通常業務が不可能な状況に追い込まれているのです。
いくら本社側で数億円のセキュリティ投資をして境界を固めていても、グループ会社や一般端末という「一箇所の侵入口」から、重要サーバまで地続きで繋がってしまっている(自由に横展開できてしまう)構造こそが、現代のセキュリティ最大の盲点と言えます。
そこで重要になるのが、「サイバーレジリエンス」という考え方です。
「攻撃を完全に防ぐこと」をゴールにするのではなく、「実際に攻撃を受けることを前提とし、攻撃を受けた後にいかに早く復旧するか」に焦点を当てます。普段からの定期的なバックアップの取得や、BCP(事業継続計画)の策定・訓練の実施はもちろん不可欠です。
しかし、ネットワーク内のほぼすべてのサーバが暗号化被害に遭ってから、それらすべてを元通りに復旧させるには膨大な時間と労力がかかります。
だからこそ、レジリエンスを高める前段階として「被害を最小限の局所に食い止める」アプローチが必要不可欠になります。
3. 「マイクロセグメンテーション」とは
先ほどの被害例で最も致命的だったのは、「1箇所の侵入から、関係のない他のサーバへ自由に行き来できてしまったこと(ラテラルムーブメント)」です。
もし、このラテラルムーブメントさえ阻止できれば、万が一特定のサーバが侵入されても、被害はその1台、またはそのエリアだけに留まり、他のサーバやクライアントへ波及することはありません。他が安全であれば、業務の全面停止という最悪の事態は回避できます。
この「横展開の抑止」を実現する具体的な手法が、マイクロセグメンテーション(Micro-segmentation)です。
各システムやアプリケーション単位でネットワークを極小化してセグメンテーションすることで、ラテラルムーブメントを防ぐことができます。
「ネットワークを分ける」という手法自体は昔から存在します。それがVLAN(仮想LAN)によるセグメンテーションです。しかし、従来のVLANとマイクロセグメンテーションには、その「粒度(細かさ)」と「制御の柔軟性」に決定的な違いがあります。
| 比較項目 | 従来型セグメンテーション(VLANなど) | マイクロセグメンテーション |
|---|---|---|
| 分割の単位 | ネットワーク、サブネット、部門単位(大雑把) | ワークロード、アプリケーション、サーバ単位(極小) |
| 制御の場所 | ネットワークの境界(ルータやFW) | 各サーバ・ホストの内部(仮想NICやOSレベル) |
| 同一エリア内の通信 | 完全に許可(検知・防御ができない) | 原則禁止(必要な通信だけをピンポイントで許可) |
| 運用の負荷 | IPアドレスの変更や物理的な設定変更が必要 | IPアドレスに依存せず、属性(タグ)で柔軟に管理可能 |
4. マイクロセグメンテーションの実装アプローチ
マイクロセグメンテーションを実際にどうやって実現するのか、技術的なアプローチは主に以下の3つに分類されます。
■エージェント型(ホストベース)
保護対象のサーバ(Windows/Linuxなど)に専用のエージェントソフトをインストールし、OSが持つファイアウォール機能(Windows FWやiptablesなど)を中央から一元管理する方式です。
メリット: ネットワーク機器の構成に一切依存しない。クラウド(AWS/Azure)やオンプレミスが混在した環境でも共通のポリシーを適用できる。
デメリット: すべてのサーバにエージェントを入れる手間が発生する。レガシーなOSや、エージェントを入れられないアプライアンス機器には適用できない。
■ネットワーク型(ネットワークファブリックベース)
SDN(OpenFlowなど)や、ネットワークスイッチ、ルータの機能を活用して制御する方式です。
メリット: サーバ側にソフトを入れる必要がないため、OSの制約を受けない。IoT機器やプリンタ、レガシーシステムも保護対象にできる。
デメリット: 対応した高機能なネットワーク機器(ハードウェア)が必要になり、既存インフラの全面見直しが必要になるケースがある。
■ハイパーバイザー型
VMware vSphere(NSX)やNutanixなどの仮想化基盤(ハイパーバイザー)のレイヤーで通信を制御する方式です。
メリット: 仮想マシンの手前(仮想NIC)で通信をブロックするため、サーバOSに負荷をかけず、ネットワーク機器の変更も不要。
デメリット: 仮想化環境の中にいるシステムにしか適用できない(物理サーバには使えない)。
マイクロセグメンテーションが従来のファイアウォールと一線を画す最大の理由は、「IPアドレスに依存しない制御」ができる点です。
従来のファイアウォールは「192.168.1.5 から 10.0.0.5 への通信を許可する」といったIPアドレスベースのルールでした。しかし、現代のクラウド環境やコンテナ環境では、サーバが自動で増減(オートスケーリング)し、IPアドレスが頻繁に変わります。これではルールのメンテナンスが追いつきません。
マイクロセグメンテーションでは、サーバに付与された「タグ(属性情報)」を使ってルールを定義します。
ルールの例:
「環境:本番(Production)」のタグを持つサーバは、「環境:テスト(Staging)」のタグを持つサーバと通信してはならない。
「役割:Webサーバ」から「役割:DBサーバ」への通信は、ポート3306(MySQL)のみを許可する。
このように定義しておけば、サーバが増えて新しいIPアドレスが割り当てられても、「Webサーバ」というタグさえついていれば自動的に正しいセキュリティポリシーが適用されます。これこそが、ゼロトラストの「無条件に信用せず、常に検証する」という思想の具現化です。
5. 導入への現実的なファーストステップ
非常に強力なマイクロセグメンテーションですが、一歩間違えると「必要な通信まで止めてしまい、業務システムが動かなくなる」という運用上のリスクがあります。そのため、以下のステップで慎重に進めるのが定石です。
■可視化(現状把握)
まずは、どのサーバがどこに対して、何のポートで通信しているのかを「可視化」します。多くのマイクロセグメンテーション製品には、通信ログから自動でネットワークマップ(トポロジー図)を描画する強力な機能が備わっています。
■ポリシーのシミュレーション
いきなり通信を遮断(Block)するのではなく、テストモード(Alertモード)でルールを適用します。「もしこのルールを本番適用したら、業務通信が巻き添えで遮断されないか」をログベースで徹底的に検証します。
■段階的な適用(スモールスタート)
まずは最もリスクの高い「海外拠点と国内の本社ネットワークの間」や、最重要データを扱う「個人情報データベース周辺」など、影響範囲を絞って順次アクセス制御を有効化していきます。
6. まとめ
境界型防御が通用しなくなった現代において、「侵入されないための対策」だけでシステムを守ることは不可能です。
今求められているのは、「侵入されることを前提とし、マイクロセグメンテーションによって被害を最小限に抑え込み、迅速なバックアップ復旧(サイバーレジリエンス)に繋げる」という多層的なアプローチです。
自社のネットワークが現在「ひとたび中に入ればどこへでも行ける状態」になっていないか、まずは通信の「可視化」から、第一歩を踏み出してみてはいかがでしょうか。
弊社では、マイクロセグメンテーションを実現するソリューションとして、Illumioを取り扱っております。
また、実際の攻撃手法を通して攻撃者側、被害者側の体験ができるセキュリティアリーナも実施しております。
ぜひお問い合わせください。
