ネットワークセグメンテーション（Network Segmentation）

ネットワークセグメンテーションとは、ひとことで言えば、ネットワークを複数の論理的・物理的な区画に分割し、セグメント間の通信を制御することで被害の拡大を防ぐセキュリティ手法です。たとえば、社内ネットワークを「本番サーバ」「開発環境」「ゲストWi-Fi」「IoT機器」に分割し、各セグメント間にファイアウォールやACLを配置してアクセスを制限します。ランサムウェアが1台の端末に感染しても、適切にセグメンテーションされていればネットワーク全体への横展開（ラテラルムーブメント）を阻止できます。PCI DSSではカード会員データを扱う環境を他のネットワークからセグメント化することが要件とされています。VLANは論理的なセグメンテーションの代表的な実装手段です。