ネットワークセグメンテーション入門｜横移動攻撃を防ぐ境界設計の考え方

「社内ネットワーク、全部つながってます」——この一言を聞いたとき、攻撃者の視点で考えると背筋が凍ります。

1台の端末が侵害されたとき、同じネットワークに属するすべての端末・サーバーが攻撃者の射程に入ります。ランサムウェアが瞬く間に社内全体に広がるのは、多くの場合このフラットなネットワーク構成が原因です。

この記事では、ネットワークセグメンテーションの基本的な考え方と、現場で使える設計パターンを整理します。

ネットワークセグメンテーションとは——ネットワークを「区画」に分ける考え方

ネットワークセグメンテーション（Network Segmentation） 1つの大きなネットワークを複数の小さな区画（セグメント）に分割し、セグメント間の通信を制御する設計手法。侵害の影響範囲を限定し、横移動攻撃を防ぐことが主な目的。

ネットワークセグメンテーションは「壁を作る」設計です。同じセグメント内の通信は自由に行えますが、セグメントをまたぐ通信はファイアウォールやアクセス制御リスト（ACL）で制御します。

最小権限の考え方をネットワークに適用したものと理解すると、設計の意図が明確になります。最小権限の原則については「最小権限の原則とは？」で解説しています。

なぜ分けるのか——セグメンテーションが防ぐリスク

横移動攻撃（ラテラルムーブメント）を封じ込める

横移動攻撃（ラテラルムーブメント：Lateral Movement） 攻撃者が最初に侵害した端末を起点に、同じネットワーク内の他の端末・サーバーへと侵害範囲を広げていく攻撃手法。フラットなネットワークでは特に被害が拡大しやすい。

攻撃者は1台の端末を侵害した後、そこから社内ネットワークを探索して価値の高いターゲット（ドメインコントローラー・ファイルサーバー・バックアップサーバー）を探します。セグメンテーションで適切な「壁」があれば、この横移動を途中で止めることができます。

ランサムウェアが感染拡大する仕組みと初動対応については「ランサムウェア対応の初動手順」を参照してください。

被害範囲を限定する——感染が広がる前に止める

セグメンテーションの効果は「侵害を防ぐ」ことだけではありません。侵害が発生した後でも、被害が広がる速度を落とし・範囲を限定する効果があります。

セグメンテーションの設計パターン

基本パターン：機能別に分ける

最初に取り組むべきセグメンテーションは「機能別」の分割です。役割の異なるシステムを同じネットワークに混在させないことが基本です。

DMZ（DeMilitarized Zone：非武装地帯） インターネットと内部ネットワークの間に設ける中間ネットワーク。外部からアクセスされるサーバーをここに配置し、内部ネットワークへの直接アクセスを防ぐ。

発展パターン：信頼レベルで分ける（ゾーニング）

機能別の分割に加えて、「信頼レベル」でネットワークを階層化するアプローチです。

【信頼レベル別ゾーニングの例】

Tier 0（最高信頼）：ドメインコントローラー・PKI・特権管理端末
    ↑ 厳格なアクセス制御
Tier 1（高信頼）：重要サーバー・バックアップ・監視基盤
    ↑ 限定的なアクセス制御
Tier 2（通常）：一般業務端末・業務アプリケーション
    ↑ 標準的なアクセス制御
Tier 3（低信頼）：ゲストネットワーク・IoT機器・BYOD端末

上位のTierには下位のTierから直接アクセスできない設計にします。AD環境でのTierモデルの詳細については「AD特権アカウントの設計」を参照してください。

実装手段——VLAN・ファイアウォール・NSGの使い分け

セグメンテーションの実装には複数の手段があります。環境に合わせて組み合わせて使います。

Azureでのネットワークセキュリティ設計については「Azureネットワークセキュリティ設計入門」で詳しく解説しています。

設計時に決めておくべきこと

どの通信を許可し・どの通信を拒否するか

セグメントを分けた後に重要なのは「セグメント間の通信ルール」を明確にすることです。「分けたはいいが通信ルールが曖昧」な状態では、セグメンテーションの効果が半減します。

設計の基本はホワイトリスト方式です。「必要な通信だけを許可し、それ以外はすべて拒否する」という考え方で通信ルールを定義します。

【通信ルール設計の例】

業務セグメント → サーバーセグメント：
  許可：TCP 445（ファイル共有）・TCP 80/443（Web）
  拒否：その他すべて

業務セグメント → 管理セグメント：
  拒否：すべて（管理者端末からのみ許可）

サーバーセグメント → 管理セグメント：
  許可：TCP 3389（RDP）from 管理端末のみ
  拒否：その他すべて

セグメント間の通信ルールをドキュメント化する

通信ルールは「なぜその通信を許可しているか」の理由とセットでドキュメント化してください。理由が記録されていないルールは、担当者が変わると「削除していいのか判断できない」状態になります。

通信ルール台帳の最低限の記載項目：送信元セグメント・宛先セグメント・プロトコル・ポート・許可/拒否・理由・設定日・設定者

よくある失敗パターン——「分けたつもり」で穴があった現場

① VLANを分けたがルーターで全部許可していた

「VLANで分けているから安全」と思っていたが、セグメント間を接続するルーターのACLがpermit any any（全通信許可）のままだったケースです。VLANはL2レベルの分離であり、L3レベルの通信制御（ファイアウォール・ACL）と組み合わせて初めて意味を持ちます。

② 管理用ポートが業務セグメントから到達できた

RDP（3389）やSSH（22）などの管理用ポートが、一般業務端末のセグメントから直接到達できる状態になっていたケースです。攻撃者に業務端末を侵害されると、そのまま管理者権限でサーバーに接続されます。管理用通信は管理セグメントからのみ許可する設計を徹底してください。

③ ゲストWi-Fiが社内ネットワークと同じセグメントだった

来訪者や外部業者向けのゲストWi-Fiが、社内の業務ネットワークと同じVLANに接続されていたケースです。ゲストネットワークはインターネットへのアクセスのみ許可し、社内ネットワークとは完全に分離してください。

④ セグメントを増やしすぎて管理できなくなった

細かく分けすぎた結果、通信ルールが複雑になりすぎて「どのルールが何のためにあるか」わからなくなるケースです。最初はシンプルな構成から始め、リスクに応じて段階的に細分化することを推奨します。

実務チェックリスト——ネットワークセグメンテーション設計の確認ポイント

現状確認

• [ ] 社内ネットワークのセグメント構成図が存在するか
• [ ] 重要サーバー（DC・バックアップ・ファイルサーバー）が業務端末と同じセグメントにないか
• [ ] ゲストネットワークが社内ネットワークと分離されているか
• [ ] セグメント間の通信ルールが文書化されているか

設計・実装

• [ ] DMZ・業務・サーバー・管理の最低4セグメントが分離されているか
• [ ] セグメント間の通信はホワイトリスト方式（必要な通信のみ許可）か
• [ ] 管理用ポート（RDP・SSH）は管理セグメントからのみ許可されているか
• [ ] ファイアウォール・ACLのルールに「理由」が記載されているか

運用・監視

• [ ] セグメント間の通信ログを取得・監視しているか
• [ ] 通信ルールの定期レビューの運用があるか
• [ ] ネットワーク構成変更時の承認フローが決まっているか

まとめ——今日確認すべきことは1つです

今日やることは1つだけです。ドメインコントローラーが、一般業務端末のセグメントから直接アクセスできる状態になっていないか確認してください。

DCへの直接アクセスが業務端末から可能な状態は、横移動攻撃の最も危険な経路の1つです。まずここを塞ぐことが、セグメンテーション設計の最優先事項です。

ゼロトラストの考え方と組み合わせることで、セグメンテーションの効果をさらに高められます。詳しくは「ゼロトラストとは？Azureでの実装パターン」を参照してください。

あわせてご覧ください

• ゼロトラストとは？Azureでの実装パターン｜境界防御からの移行を考える
• Azureネットワークセキュリティ設計入門｜VNet・NSG・ファイアウォールの考え方
• ランサムウェア対応の初動手順｜感染発覚から封じ込めまでの現場ガイド
• 最小権限の原則とは？実務での考え方と設計例
• AD特権アカウントの設計｜Tier0保護と管理者アカウント分離の実務
• 若手インフラエンジニアが最初に身につけるべきセキュリティ知識10選【現場視点で解説】