【Catoクラウド】マイクロセグメンテーション機能の仕組みと利用シーン

Cato クラウドでは、2025年1月にマイクロセグメンテーション (Microsegmentation) 機能がリリースされました。この機能を一言で言うと、同一L2ネットワーク内の通信のセキュリティを向上させる機能です。

マイクロセグメンテーション機能の利用の検討を始めているお客様も出てきていますので、技術的な仕組みの説明をしつつ、具体的な利用シーンや注意点について解説します。

マイクロセグメンテーションとは

同一L2ネットワーク内の通信制御の課題

企業内のネットワークでは、同一のL2ネットワーク内に多数のホストが接続されているのが一般的です。しかし、セキュリティ要件によっては、L2ネットワーク内の通信も細かく制御したいという場合があるのではないでしょうか?

例えば、以下のようなケースです。

• 同じオフィスフロアに複数の部署のPCが混在しており、部署間の通信を制限したい
• データベースサーバへのアクセスを特定のアプリケーションサーバのみに制限したい
• コンプライアンス要件で内部通信の可視化とログ記録が必要
• 内部脅威への対策を強化したい
• 横方向の攻撃 (ラテラルムーブメント) を防ぐため、ホスト間の不要な通信をブロックしたい

一般的なネットワークでは、L2スイッチを使用して複数のホストを接続しているものと思います。同一L2ネットワーク内のホスト間通信は、L2スイッチが行うMACアドレスベースの転送によって直接行われます。

この通信はL3のルータやファイアウォールを経由しませんので、それら機器では同一L2ネットワーク内のホスト間通信を制御できず、サーバやPCのファイアウォール機能等でどうにかするというのが一般的です。

L2ファイアウォールの機能を持った機器を利用して制御するという選択肢もありますが、複数のL2スイッチを使っているネットワークではそれら全てを置き換える必要があり、導入コストを考慮すると現実的とは言えません。また、それら機器ごとにファイアウォール設定を管理する必要があるため、運用も複雑化してしまいます。

マイクロセグメンテーションという解決策

同一L2ネットワーク内のホスト間通信を制御する別の技術として、マイクロセグメンテーションがあります。

マイクロセグメンテーションの基本的な考え方は、既存のL2ネットワークの構成を変更せずに、ホスト間の通信がL3のルータやファイアウォールを必ず経由するようにするというものです。Cato の場合、Socket がこのルータ/ファイアウォールの役割を果たし、マイクロセグメンテーション機能を有効にすると同一ネットワーク内のホスト間の通信が Socket を経由するようになります。

L2ファイアウォール機器を利用する場合と異なり、既存のL2スイッチを置き換える必要がないため、導入コストを抑えることができます。また、Cato の LAN Firewall や WAN Firewall 機能で通信を制御でき、それら設定は CMA にて集中的に管理できますので、運用の煩わしさも軽減できます。

以降、Cato のマイクロセグメンテーション機能について説明を行っていきますが、以下の Cato 公式ドキュメントも合わせてご参照ください。

• What is Cato LAN Segmentation – Cato Learning Center
• Adding Microsegmentation Zero-Trust Security to Sites – Cato Learning Center

技術的な仕組み

まず最初に、マイクロセグメンテーションの技術的な仕組みについて解説します。

仕組みの概要

マイクロセグメンテーション機能の核心は、各ホストに プレフィックスが /32 (サブネットマスクが 255.255.255.255) のIPアドレス を割り当てるという点にあります。

通常の LAN では /24 や /16 などが使われており、/24 であれば254台、/16 であれば65534台のホストが同一ネットワークに所属できます。一方、/32 はIPアドレス全体がネットワーク部となるため、そのIPアドレスを割り当てたホスト1台だけで構成されるネットワークとなります。

Cato でマイクロセグメンテーション機能を有効にすると、Socket は DHCP にて /32 のIPアドレスを割り当てます。例えば、Socket としてはネットワークを 192.168.1.0/24 というアドレス範囲で扱うものの、その配下のホストには 192.168.1.10/32 のようなアドレスを配布するということです。

DHCP を用いて実現する機能であるため、”Native” または “VLAN” タイプのネットワークで、各ホストに DHCP でIPアドレスを割り当てている場合にのみ利用できます。

では、/32 のアドレスを配布することで通信がどのように変化するか、さらに詳しく解説します。

/24 のIPアドレスを割り当てた場合

マイクロセグメンテーション機能を利用せず、Socket が DHCP にて同一ネットワーク上の2台のホストに次のIPアドレスを割り当てたとします。

• ホストA: 192.168.1.10/24
• ホストB: 192.168.1.20/24

Socket のIPアドレスは 192.168.1.1 とします。

このとき、各ホストのルーティングテーブルには次のような2つの経路が設定されます。

1. 宛先が 0.0.0.0/0 で、ゲートウェイが 192.168.1.1 であるデフォルト経路
2. 宛先が 192.168.1.0/24 で、同一リンク上に存在するという経路

ホストA (192.168.1.10) からホストB (192.168.1.20) に通信する際の流れは次のようになります。

1. ルーティングテーブルを確認
   • ⇒宛先が同一リンク上に存在することがわかる
2. ARP でホストBの MAC アドレスを解決
3. ホストBの MAC アドレス宛てにイーサネットフレームを送信
   • イーサネットフレームの中身はホストAからホストB宛てのIPパケット

ここで重要な点は、「同一リンク上に存在する」という経路がある ため、Socket を経由せずにL2で直接通信するという点です。

/32 のIPアドレスを割り当てた場合

マイクロセグメンテーション機能を利用し、Socket が DHCP にて同一ネットワーク上の2台のホストに次のIPアドレスを割り当てたとします。

• ホストA: 192.168.1.10/32
• ホストB: 192.168.1.20/32

このとき、各ホストのルーティングテーブルには次のような経路が設定されます。

1. 宛先が 0.0.0.0/0 で、ゲートウェイが 192.168.1.1 であるデフォルト経路

先ほどと異なり、192.168.1.0/24 が同一リンク上に存在するという経路がありません。

そのため、ホストA (192.168.1.10) からホストB (192.168.1.20) に通信する際の流れは次のようになります。

1. ルーティングテーブルを確認
   • ⇒デフォルト経路を選択する
2. ARP で Socket (192.168.1.1) の MAC アドレスを解決
3. Socket の MAC アドレス宛てにイーサネットフレームを送信
   • イーサネットフレームの中身はホストAからホストB宛てのIPパケット
4. Socket はファイアウォールのポリシーを評価し、通信が許可されていればホストBにIPパケットを転送する

ここで重要な点は、「同一リンク上に存在する」という経路がない ため、Socket を経由して通信するという点です。

つまり、DHCP で割り当てるIPアドレスのプレフィックスを制御し、「同一リンク上に存在する」という経路の有無 を制御することで通信経路を制御するという点が、マイクロセグメンテーションの核心です。

DHCP だけで実現でき、各ホストには特別な設定やエージェントの導入が不要なので、運用上の負担もほとんどない巧妙なテクニックです。

セキュリティ上の効果

マイクロセグメンテーション機能は内部ネットワークのゼロトラスト化に寄与するものであり、実際にどのようなセキュリティ上の効果が得られるか挙げてみます。

ラテラルムーブメント対策

悪意を持った攻撃者が何らかの方法でネットワーク内のホストに侵入した後、そこを足がかりに他のホストへ侵入を拡大する手法をラテラルムーブメントと呼びます。ネットワーク内に侵入されると、ポートスキャン、不正なサービスへのアクセス、マルウェアの感染拡大など、多数のホストが攻撃に晒されることになります。

従来のネットワークでは、同一のL2ネットワーク内の他のホストとの間に独立したファイアウォールが存在しないため、侵入されたホストから他のホストへのスキャンや攻撃が容易でした。

マイクロセグメンテーション機能を有効にし、LAN Firewall にて任意の送信元から任意の宛先への通信をブロックし、必要な通信だけ許可するルールを設定すれば、ラテラルムーブメントを大幅に抑制できるものと思います。

内部不正の抑止と検知

内部のユーザによる社内システムへの適切でないアクセスの防止や検知にも利用できます。

例えば、次のようなケースが挙げられます。

• 一般社員のPCから人事システムへのアクセス
• 開発者のPCから本番データベースへの直接アクセス
• 退職予定の社員によるファイルサーバへの大量アクセス

ファイアウォールによるブロックは細かく制御する必要があるため設定が複雑化してしまいますが、通信ログを記録するだけであれば、全ての通信を記録対象とするだけで済むため、設定は難しくありません。重要なシステムやサーバへのアクセスはログを記録するようにしておけば、事後の監査やインシデント調査に役立ちます。

OT/IoT機器の保護

OT (Operational Technology) や IoT 機器は、その特性上セキュリティ機能が不十分であることが多いです。これら機器の通信の保護にはマイクロセグメンテーション機能が非常に有効です。

例えば、監視カメラの機器の場合、マイクロセグメンテーション機能を有効にし、セキュリティ担当者のPCのみからカメラにアクセスできるようにする、といった制御を行うのが良いです。

通信への影響

マイクロセグメンテーション機能を有効にすると、セキュリティ上の効果を得られる反面、通信には影響が出てきます。

具体的にどのような影響があるか以下に整理します。

影響範囲

マイクロセグメンテーション機能は、同一L2ネットワーク内のホスト間通信に影響を及ぼします。

お客様のネットワーク構成にもよりますが、次のような通信が影響を受けると考えられます。

• リモートデスクトップ接続
• ファイル共有 (SMB、NFSなど)
• プリンタ
• IP電話の内線通話
• 監視ツール

逆に、次のような通信はマイクロセグメンテーションによる影響は受けません。

• インターネット向けトラフィック
• WAN 越しの通信
• 異なるネットワークセグメント間の通信

マイクロセグメンテーション機能を有効にする前に、対象のネットワーク内でどのような通信が行われているか必ず事前調査しましょう。通信を把握しないままセキュリティ機能を設定すると、必要な通信が行えなくなってしまう可能性があります。

レイテンシとスループットへの影響

マイクロセグメンテーション機能を有効にすると、同一L2ネットワーク内の通信が Socket を経由するようになるため、スループットやレイテンシにも影響を及ぼします。

ネットワーク内での大容量のファイル転送 (例：ファイルサーバへのバックアップ) などでは、Socket の処理性能がボトルネックになり、スループットが十分に出ない可能性があります。Socket のモデルにもよりますが、X1500 のようなエントリーモデルでは高スループットを保証していませんので、実際の環境での検証やファイアウォール設定の工夫が必要となってきます。

また、Socket ではパケット転送だけでなくファイアウォールポリシーの評価・適用なども行うため、レイテンシが若干増加する可能性があります。これが体感上の遅さに繋がることは少ないと考えられますが、レイテンシに敏感なソフトウェアで問題が生じるようでしたら、この場合も設定の工夫が必要となってくるかと思います。

なお、LAN Firewall を有効にしていないと、通信が PoP に送られて折り返し通信となってしまい、スループットやレイテンシに間違いなく影響が出てきますので、マイクロセグメンテーション機能を有効にする際は LAN Firewall も合わせて有効にするのが望ましいです。

注意点

技術的な仕組みの部分で記載した通り、マイクロセグメンテーションはホストのネットワーク設定の制御により通信経路を制御することで実現しています。

逆に言うと、悪意ある人がネットワーク設定を変更すれば、マイクロセグメンテーションの制御を外せるということです。この操作自体は難しいことではなく、サブネットマスクを 255.255.255.0 などに変更する程度のことであり、他にも手段はあります。

マイクロセグメンテーションはL2ネットワークを分けずにL3ネットワークを分ける技術ですので、こればかりはどうしようもありません。

マイクロセグメンテーションを必ず効かせるには、ホストのネットワーク設定を変更できる管理者権限を渡さないようにする必要があるという点には注意が必要です。OSやソフトウェアのバージョンアップも適切に行い、管理者権限を不正に取得できる脆弱性がない状態を維持することも肝心です。

まとめ

Cato のマイクロセグメンテーション機能は、お客様の内部ネットワークのセキュリティ面を向上させる良い機能です。物理ネットワーク構成をほぼ変えることなく実現でき、ゼロトラストの原則に基づいた内部セキュリティを実現できます。

一方で、既存の通信には様々な影響を及ぼすこととなります。そのため、マイクロセグメンテーション機能を有効にする対象のネットワーク内で行われる通信を事前に調査し、LAN Firewall を適切に設定しないと、通信トラブルのもとになりかねませんので注意が必要です。

まずは VLAN などによるネットワークの分割を検討し、その上でさらにセキュリティ面を向上させたい場合にポイントを絞ってマイクロセグメンテーション機能を利用する、という使い方が良いと言えるでしょう。