Jomo Jomo

フラットネットワークからVLAN分離への移行

セキュリティ監査で指摘されたフラットネットワーク環境から、部門別VLAN分離への段階的な移行計画と実施手順をひとり情シスの視点で解説します。

状況:セキュリティ監査でネットワーク分離を指摘された

取引先の大手企業から求められたセキュリティ監査で、「社内ネットワークが全端末同一セグメントで運用されており、ネットワーク分離がなされていない」と指摘を受けました。具体的には以下の問題点が挙げられました。

  • 事務用PCとサーバーが同一ネットワークに存在し、どのPCからもサーバーに直接アクセスできる
  • 来客用Wi-Fiと社内ネットワークが分離されておらず、来客端末から社内リソースにアクセス可能
  • IoT機器(複合機、ネットワークカメラ等)と業務PCが同一セグメントにあり、IoT機器への攻撃が業務PCに波及するリスクがある

このままでは取引継続に影響があるため、3ヶ月以内にネットワーク分離を実施する必要があります。ひとり情シスとして、業務を止めずに段階的にVLAN分離を実現しなければなりません。

⚠️ 注意

VLAN設計を誤ると、「サーバーにアクセスできない」「印刷ができない」「部署間のファイル共有ができない」など、業務に重大な影響が出ます。十分な検証期間を設け、切り戻し(元に戻す)手順も事前に準備してから実施してください。

背景知識:VLANとは何か

VLAN(Virtual LAN)は、物理的なネットワーク接続に関係なく、論理的にネットワークを分割する技術です。1つの物理スイッチ上で、複数の独立したネットワークを構成できます。

フラットネットワーク(現状)の問題点

  • 全端末が同じブロードキャストドメインに属するため、ARP応答やブロードキャスト通信が全端末に届く
  • 1台のPCがマルウェアに感染すると、同一セグメント内の全端末に容易に感染が広がる
  • 端末数が増えるとブロードキャストトラフィックが増大し、パフォーマンスが低下する
  • アクセス制御が困難で、「経理部のファイルサーバーには経理部からのみアクセス可能」といった制限ができない

VLAN分離後のメリット

  • セキュリティ向上:部門間の不要な通信を遮断し、攻撃の横展開を防止
  • パフォーマンス向上:ブロードキャストドメインの縮小によりネットワーク効率が改善
  • 管理性向上:部門ごとのネットワークポリシーの適用が容易
  • コンプライアンス:セキュリティ監査要件の充足

💡 ポイント

ひとり情シスにとって、VLAN構築は「やったことがない」という方も多いかもしれません。しかし、基本的なVLAN設定はマネージドスイッチの管理画面から数クリックで行えます。恐れずに取り組みましょう。まずはテスト用のスイッチ1台で動作を確認してから本番に適用するのが安全です。

対応手順:段階的にVLANを導入する

フェーズ1:現状調査と設計(1~2週間)

ステップ1:現在のネットワーク構成を棚卸しする

まず、現在のネットワークに接続されている全機器を把握します。

  • PC・ノートPC:何台、どの部署で使用しているか
  • サーバー:何台、どのサービスを提供しているか
  • ネットワーク機器:ルーター、スイッチ、AP の台数と型番
  • その他:複合機、IP電話、ネットワークカメラ、IoTデバイス

📋 具体例

今回の環境の棚卸し結果:PC 35台(営業部10台、経理部5台、開発部10台、総務部5台、役員5台)、サーバー3台(ファイルサーバー、Active Directoryサーバー、業務アプリサーバー)、複合機4台、AP3台、IP電話20台、ネットワークカメラ5台。スイッチはアンマネージドが8台、マネージドが0台。

ステップ2:VLAN設計を行う

部門やデバイスの種類に応じてVLANを設計します。以下は一般的な設計例です。

  • VLAN 10:サーバーセグメント(192.168.10.0/24)- ファイルサーバー、ADサーバー、業務アプリサーバー
  • VLAN 20:営業部(192.168.20.0/24)- 営業部のPC
  • VLAN 30:経理部(192.168.30.0/24)- 経理部のPC
  • VLAN 40:開発部(192.168.40.0/24)- 開発部のPC
  • VLAN 50:総務・役員(192.168.50.0/24)- 総務部・役員のPC
  • VLAN 60:IoT・OAデバイス(192.168.60.0/24)- 複合機、ネットワークカメラ
  • VLAN 70:ゲストWi-Fi(192.168.70.0/24)- 来客用Wi-Fi
  • VLAN 99:管理用(192.168.99.0/24)- スイッチ・AP管理用

⚠️ 注意

VLANを細かく分けすぎると管理が煩雑になります。50名規模の企業であれば、5~8個程度のVLANが適切です。また、将来の部署増設や人員増加を見越して、各VLANのIPアドレス範囲は余裕を持って設計してください。/24(254台分)であれば通常は十分です。

ステップ3:Inter-VLAN Routingの設計

VLANを分離すると、異なるVLAN間の通信はそのままではできなくなります。部門間で必要な通信(ファイルサーバーへのアクセス、複合機での印刷など)を許可するために、Inter-VLAN Routing(VLAN間ルーティング)を設計します。

  • 全VLANからサーバーVLAN(VLAN 10)への通信を許可
  • 全VLANからIoT VLAN(VLAN 60)の複合機への印刷通信を許可
  • ゲストVLAN(VLAN 70)からはインターネットのみ許可、社内リソースへのアクセスは拒否
  • 各部門VLAN間の直接通信は原則拒否(必要に応じて許可)

📋 具体例

Inter-VLAN RoutingはL3スイッチまたはルーターで実現します。中小企業であれば、ヤマハRTXシリーズのルーターが設定しやすくおすすめです。L3スイッチ(例:Cisco Catalyst、HPE Aruba、NETGEAR M4シリーズ)を使えば、スイッチ自体でルーティングが完結し、高速な処理が可能です。ACL(アクセス制御リスト)で「ゲストVLANから社内セグメントへの通信をDeny」などのルールを設定します。

フェーズ2:機器調達と検証(2~3週間)

ステップ4:必要な機器を調達する

現在アンマネージドスイッチのみの環境では、VLANに対応したマネージドスイッチの導入が不可欠です。

  • コアスイッチ(L3スイッチ):1台。Inter-VLAN Routingを担当
  • フロアスイッチ(L2マネージドスイッチ):各フロアに1台ずつ。VLAN対応のポートアサインメントを行う
  • VLAN対応AP:既存APがVLAN(マルチSSID)に対応しているか確認。非対応なら交換

ステップ5:テスト環境で検証する

本番適用前に、調達した機器でテスト環境を構築し、以下を検証します。

  1. VLANの設定が正しく動作するか(同一VLAN内の通信が可能、異なるVLAN間は遮断されるか)
  2. Inter-VLAN Routingが意図通りに動作するか
  3. DHCPサーバーが各VLANに正しくIPアドレスを払い出すか
  4. 複合機への印刷、ファイルサーバーへのアクセスなど業務に必要な通信が可能か
  5. ゲストWi-Fiからインターネットのみアクセス可能か

💡 ポイント

テスト環境の構築は面倒に感じるかもしれませんが、VLAN設定のミスは「業務が完全に止まる」レベルの影響を及ぼします。会議室の一角にテスト用スイッチとPC2~3台を用意し、最低限の検証を行ってください。週末や夜間に2~3時間あれば十分です。この検証が本番切り替え時の自信につながります。

フェーズ3:段階的な本番移行(2~4週間)

ステップ6:コアスイッチの設置とVLAN基盤の構築

サーバールームにL3スイッチ(コアスイッチ)を設置し、VLAN・ルーティングの基本設定を行います。この段階では既存のネットワークに影響を与えないよう、並行稼働させます。

ステップ7:部門ごとに段階的に移行する

全部門を一度に移行するのはリスクが高いため、以下の順序で段階的に移行します。

  1. 第1週:サーバーセグメントの分離(業務時間外に実施)
  2. 第2週:IT担当者がいるフロアの1部門(問題があればすぐ対応可能)
  3. 第3週:残りの部門を順次移行
  4. 第4週:ゲストWi-Fiの分離とIoTデバイスの分離

⚠️ 注意

各部門の移行は、必ず業務時間外(早朝・夜間・休日)に実施してください。万が一問題が発生した場合に備えて、「切り戻し手順」を事前に準備し、30分以内に元の状態に戻せるようにしておきます。切り戻し手順は紙に印刷してサーバールームに常備しましょう。

ステップ8:移行後の動作確認と微調整

各部門の移行後、以下のチェックリストで動作確認を行います。

  • インターネット接続が正常か
  • ファイルサーバーへのアクセス(読み取り・書き込み)ができるか
  • 業務アプリケーション(基幹システム等)が正常に動作するか
  • 複合機からの印刷・スキャンが可能か
  • メール(Outlook等)の送受信ができるか
  • Web会議(Teams/Zoom)が正常に動作するか

📋 具体例

移行後に「複合機で印刷できない」という問題が発生することがよくあります。これは複合機がIoT VLANに移動したことで、PCとの通信がVLAN間ルーティングを経由するようになり、複合機の検出プロトコル(mDNS/Bonjour、WSD等)がVLANを超えられないためです。対策としては、(1) 複合機のIPアドレスを固定にして直接指定で印刷設定する、(2) プリントサーバーをサーバーVLANに設置して各VLANから利用する、などがあります。

運用と管理

新入社員・部署異動時の対応

VLAN環境では、新入社員のPCを正しいVLANに接続する必要があります。手順書を作成し、以下を明確にしておきましょう。

  • 各部門がどのVLANに属するか
  • 各スイッチのどのポートがどのVLANに割り当てられているか
  • 部署異動時のVLAN変更手順

ネットワーク構成図の更新

VLAN導入後のネットワーク構成図を必ず作成し、最新の状態を維持します。物理構成図と論理構成図の両方が必要です。

💡 ポイント

ひとり情シスにとって、VLAN導入はスキルアップの大きなチャンスです。ネットワークの基本であるL2/L3の動作を体系的に理解できますし、「セキュリティ監査の指摘に対応してVLAN分離を実施した」という実績は、キャリアにとっても大きなプラスになります。困ったときはヤマハやNETGEARのサポートフォーラム、ネットワークエンジニアのコミュニティで質問してみましょう。同じ悩みを持つ方がたくさんいます。

まとめ

  • フラットネットワークはセキュリティリスクが高く、セキュリティ監査で指摘される代表的な項目
  • VLAN設計は部門・用途ごとに分離し、Inter-VLAN Routingで必要な通信のみ許可する
  • 移行は段階的に実施し、各段階でテストと切り戻し手順を準備する
  • 複合機の印刷など、VLAN間で動作しなくなるサービスへの事前対策が重要
  • VLAN導入後の構成図の維持と運用手順の文書化を怠らない