中小企業ネットワーク設計・構築 完全ガイド
要件定義からIPアドレス設計、VLAN、無線LAN、セキュリティ、監視・運用まで、中小企業ネットワークの設計・構築を体系的に解説。ひとり情シスでも実践できる具体的な手順とテンプレートを提供します。
目次
1. ネットワーク設計の基本方針
ネットワーク設計は「とりあえずつなげる」から始めてしまうと、後から大きな手戻りが発生します。ひとり情シスだからこそ、最初の設計フェーズに時間をかけ、将来の拡張にも耐えうる基盤を作ることが重要です。
要件定義のポイント
ネットワーク設計の第一歩は、現状の把握と将来の見通しを立てることです。以下の項目を明確にしましょう。
| 確認項目 | 具体的な内容 | 確認先 |
|---|---|---|
| 拠点数 | 本社のみ / 複数拠点 / リモート拠点 | 経営層 |
| 利用者数 | 現在の社員数+今後3年の増員予定 | 人事・経営 |
| 接続デバイス数 | PC、スマホ、プリンター、IoT機器など | 各部門 |
| 業務システム | 社内サーバー、クラウドサービス、VPN接続先 | 各部門・ベンダー |
| 帯域要件 | Web会議頻度、大容量ファイル転送の有無 | 各部門 |
| セキュリティ要件 | 業界規制、取引先の要件、個人情報の取扱い | 経営層・法務 |
| 予算 | 初期投資とランニングコストの上限 | 経営層 |
ポイント:要件定義の段階で「3年後の姿」を想定しておくことが重要です。社員が50名から100名に増えた場合でも対応できるか、拠点が増えた場合はどうするか。最初からすべてを実装する必要はありませんが、拡張可能な設計にしておくことで、後からの変更コストを大幅に削減できます。
冗長化レベルの決定
ネットワークの冗長化には段階があり、企業規模と予算に応じて適切なレベルを選択します。
| 冗長化レベル | 構成 | ダウンタイム目安 | 適用規模 | 概算コスト |
|---|---|---|---|---|
| レベル1(最小) | インターネット回線1本、ルーター/SW各1台 | 障害時:数時間~1日 | 社員10名以下 | 10~30万円 |
| レベル2(標準) | インターネット回線2本、コアSW冗長化 | 障害時:30分~2時間 | 社員10~50名 | 50~150万円 |
| レベル3(高信頼) | 回線2本+LTE、全機器冗長、UPS設置 | 障害時:数分 | 社員50~200名 | 200~500万円 |
| レベル4(エンタープライズ) | 完全冗長構成、自動フェイルオーバー | 障害時:自動切替 | 社員200名以上 | 500万円以上 |
⚠️ 注意
冗長化はコストとのバランスが重要です。中小企業でレベル4を目指す必要はありません。多くの場合、レベル2の構成で十分です。ただし、ECサイトや24時間稼働の業務がある場合は、その部分だけレベル3以上を検討しましょう。
予算の考え方
ネットワーク関連の予算は「初期費用」と「ランニングコスト」を分けて考えます。
- 初期費用:機器購入(ルーター、スイッチ、AP、ケーブル)、構築作業費、配線工事費
- ランニングコスト:インターネット回線費用、保守契約、ライセンス費(監視ツール等)、電気代
一般的な中小企業(社員30~50名)のネットワーク構築の予算目安は以下の通りです。
| 費目 | 概算金額 | 備考 |
|---|---|---|
| ルーター/UTM | 15~40万円 | FortiGate 40F/60F、YAMAHA RTXシリーズ等 |
| L2/L3スイッチ | 5~20万円/台 | PoE対応推奨。2~4台程度 |
| 無線AP | 3~8万円/台 | フロア面積に応じて2~6台 |
| 配線工事 | 20~50万円 | 既存配線の有無で大きく変動 |
| 設定・構築作業 | 20~40万円 | 外部委託の場合 |
📋 具体例
社員40名の製造業A社では、以下の構成で約120万円の初期投資でネットワークを構築しました。ルーター兼UTM:FortiGate 60F(25万円)、L2スイッチ:YAMAHA SWX2220 ×3台(15万円)、無線AP:YAMAHA WLX413 ×4台(28万円)、配線工事(30万円)、設定構築(20万円)。ランニングコストはインターネット回線(光回線 月額5,000円)とUTMライセンス更新(年間3万円)のみです。
2. IPアドレス設計
IPアドレス設計は、ネットワークの骨格を決める重要な工程です。後から変更するのは非常に大変なので、最初にしっかりと設計しましょう。
セグメント分割の考え方
ネットワークをセグメント(サブネット)に分割する理由は主に3つあります。
- セキュリティ:部門やデバイス種別ごとにアクセス制御を適用できる
- パフォーマンス:ブロードキャストドメインを小さく保ち、不要なトラフィックを削減
- 管理性:障害の影響範囲を限定し、トラブルシューティングを容易にする
中小企業における代表的なセグメント分割パターンを示します。
| セグメント | ネットワーク | VLAN ID | 用途 | 接続台数目安 |
|---|---|---|---|---|
| サーバーセグメント | 10.1.10.0/24 | 10 | 社内サーバー群 | 5~20台 |
| 業務PCセグメント | 10.1.20.0/24 | 20 | 社員のPC | 50~200台 |
| 開発セグメント | 10.1.30.0/24 | 30 | 開発・検証環境 | 10~50台 |
| IoT/プリンターセグメント | 10.1.40.0/24 | 40 | プリンター、複合機、IoT機器 | 10~30台 |
| ゲストネットワーク | 10.1.50.0/24 | 50 | 来客・BYOD | 随時 |
| 管理セグメント | 10.1.99.0/24 | 99 | ネットワーク機器管理 | 10~30台 |
ポイント:プライベートIPアドレスは10.0.0.0/8を使うことをお勧めします。192.168.x.xは家庭用ルーターや小規模ネットワークで多用されており、VPN接続時にアドレスが競合する可能性があります。10.x.x.xであればアドレス空間が広く、将来の拡張にも余裕を持てます。
IPアドレス管理表の作成
IPアドレス管理表は、ネットワーク管理の生命線です。必ずExcelやスプレッドシートで作成し、変更のたびに更新しましょう。
| IPアドレス | ホスト名 | MACアドレス | 用途 | 設置場所 | 割当方式 | 備考 |
|---|---|---|---|---|---|---|
| 10.1.10.1 | sv-ad01 | AA:BB:CC:DD:EE:01 | ADドメインコントローラ | サーバー室 | 固定 | プライマリDC |
| 10.1.10.2 | sv-ad02 | AA:BB:CC:DD:EE:02 | ADドメインコントローラ | サーバー室 | 固定 | セカンダリDC |
| 10.1.10.10 | sv-file01 | AA:BB:CC:DD:EE:10 | ファイルサーバー | サーバー室 | 固定 | |
| 10.1.20.100~200 | (DHCP) | - | 社員PC | 各フロア | DHCP | リース期間8時間 |
| 10.1.99.1 | rt-core01 | AA:BB:CC:DD:FF:01 | コアルーター | サーバー室 | 固定 |
将来拡張を見据えた設計
IPアドレス設計では、以下のルールを守ると将来の拡張がスムーズです。
- /24よりも大きなサブネットを確保:実際に使うのは/24でも、上位設計では/16程度の空間を確保し、新セグメント追加に備える
- VLAN IDとサブネットの対応ルール:VLAN 10 → 10.1.10.0/24 のように、第3オクテットとVLAN IDを合わせると管理が楽
- 拠点ごとの番号体系:本社=10.1.x.x、大阪支社=10.2.x.x のように第2オクテットで拠点を区別
- 予約アドレス帯:各セグメントの先頭(.1~.10)をネットワーク機器・サーバーに、DHCPは後半(.100~.250)に割り当てる
⚠️ 注意
DHCPのリース期間は短すぎても長すぎても問題です。短すぎるとDHCPサーバーへの負荷が増え、長すぎるとIPアドレスが無駄に消費されます。固定席のオフィスなら8~24時間、フリーアドレスや来客用は1~4時間が適切です。
3. 物理配線設計
ネットワークの信頼性は物理層に大きく依存します。ケーブルの選定や配線経路の設計は、一度施工すると簡単には変更できないため、慎重に行いましょう。
フロアプランの作成
配線設計の前に、まずオフィスのフロアプランを作成します。以下の情報を図面に落とし込みましょう。
- サーバー室(MDF: Main Distribution Frame)の位置
- 各フロアの配線盤(IDF: Intermediate Distribution Frame)の位置
- 情報コンセント(LAN差し込み口)の設置場所と数
- 無線APの設置予定位置
- 電源コンセントの位置(PoE非対応機器用)
- 配線経路(天井裏、床下、壁面、ケーブルラック)
📋 具体例
3階建てオフィスの配線設計例:1Fにサーバー室(MDF)を設置し、各フロアにIDFを配置します。MDF~IDF間は光ファイバー(シングルモード)で接続し、IDF~各席間はCat6Aケーブルで配線。各席には情報コンセント2口(データ用+VoIP用)を設置。将来の席数増加を見越し、実際の席数の1.5倍のコンセントを準備しておきます。
ケーブル種類の選定
| ケーブル種別 | 最大速度 | 最大伝送距離 | 用途 | 参考単価(/m) |
|---|---|---|---|---|
| Cat5e | 1Gbps | 100m | 一般業務(既存環境で十分) | 約50円 |
| Cat6 | 1Gbps(10Gbps/55m) | 100m | 現在の標準的な新規配線 | 約80円 |
| Cat6A | 10Gbps | 100m | 新規配線で推奨。将来性あり | 約150円 |
| シングルモード光 | 100Gbps以上 | 数十km | MDF-IDF間、拠点間接続 | 約200円 |
| マルチモード光 | 10Gbps | 300~550m | 建物内のバックボーン | 約150円 |
ポイント:新規配線は必ずCat6A以上を選択してください。Cat5eとCat6Aの材料費の差はわずかですが、配線工事をやり直すコストは膨大です。10Gbps対応を今のうちに確保しておくことで、将来のネットワーク高速化にスムーズに対応できます。
パッチパネルとサーバーラック
サーバー室にはサーバーラック(19インチラック)を設置し、パッチパネルでケーブルを整理します。
- ラックサイズ:中小企業なら12U~22Uで十分。将来の機器追加を考慮して余裕を持たせる
- パッチパネル:24ポートまたは48ポートが一般的。Cat6A対応のものを選択
- ケーブルマネジメント:ケーブルオーガナイザーを使用し、配線を整理。障害時のケーブル追跡を容易にする
- ラベリング:すべてのケーブルにラベルを貼り、両端で同じ番号を付与する(例:1F-01、2F-15など)
⚠️ 注意
ラックの設置場所には十分な換気・冷却が必要です。密閉された小部屋にラックを置くと、夏場に機器温度が上昇し故障の原因になります。エアコン設置、排熱ファン、温度センサーの導入を検討してください。室温は18~27℃を維持するのが理想です。
4. VLAN設計パターン
VLAN(Virtual LAN)を使うと、物理的なネットワーク配線を変更せずに、論理的にネットワークを分割できます。セキュリティ強化とパフォーマンス改善の両面で重要な技術です。
部門別VLAN vs 用途別VLAN
VLAN設計には主に2つのアプローチがあります。
| 方式 | メリット | デメリット | 推奨場面 |
|---|---|---|---|
| 部門別VLAN | 組織構造と一致しわかりやすい。部門間のアクセス制御が容易 | 人事異動のたびにVLAN変更が必要。部門横断プロジェクトの通信が複雑 | 部門間のセキュリティ分離が重要な場合 |
| 用途別VLAN | デバイス種別で管理でき、人事異動の影響が少ない | 同一フロアに複数VLANが混在し、トランクポートの管理が増える | 柔軟な運用が求められる場合 |
ポイント:中小企業では「用途別VLAN」をお勧めします。社員PC、サーバー、プリンター、ゲストWi-Fiの4つに分けるだけでも、セキュリティと管理性が大きく向上します。部門別VLANは組織変更のたびに設定変更が必要で、ひとり情シスには運用負荷が高すぎます。
セキュリティゾーニング
VLANによるセキュリティゾーニングの基本的な考え方を示します。
- 信頼ゾーン(Trust Zone):社内サーバー、管理端末。最も厳格なアクセス制御を適用
- 社内ゾーン(Internal Zone):社員のPC。業務に必要なリソースへのアクセスのみ許可
- DMZ:外部に公開するサーバー(Webサーバー、メールサーバー)。社内ゾーンへの直接アクセスは禁止
- ゲストゾーン(Guest Zone):来客用。インターネットアクセスのみ許可。社内リソースへのアクセスは完全遮断
VLAN間の通信制御はL3スイッチまたはファイアウォール(UTM)のACL(Access Control List)で行います。基本ルールは「必要な通信のみ許可、それ以外はすべて拒否」です。
📋 具体例
ACL設定例(FortiGateの場合):社員PC VLAN(20) → サーバーVLAN(10):HTTP/HTTPS, SMB, RDPのみ許可。ゲストVLAN(50) → すべての内部VLAN:全拒否。ゲストVLAN(50) → インターネット:HTTP/HTTPSのみ許可。管理VLAN(99) → すべてのVLAN:SSH, HTTPS, SNMP許可(ネットワーク機器管理用)。
5. 無線LAN設計
現代のオフィスでは無線LANは必須インフラです。適切に設計しないと、「つながらない」「遅い」という苦情が頻発します。
AP配置の設計
アクセスポイント(AP)の配置は、電波の到達範囲とユーザー密度を考慮して決定します。
| エリア種別 | AP1台あたりのカバー面積 | 同時接続数目安 | 設置場所 |
|---|---|---|---|
| 一般オフィス | 約100~150㎡ | 20~30台 | 天井中央 |
| 会議室密集エリア | 約50~80㎡ | 30~50台 | 会議室周辺の天井 |
| 倉庫・工場 | 約200~300㎡ | 10~20台 | 壁面高所 |
| エントランス・ロビー | 約150~200㎡ | 10~20台 | 天井 |
⚠️ 注意
AP同士の間隔が近すぎると電波干渉が発生し、逆に通信品質が低下します。2.4GHz帯は特に干渉を受けやすいため、可能であれば5GHz帯/6GHz帯(Wi-Fi 6E)を中心に設計しましょう。2.4GHz帯は古いデバイスやIoT機器用の補助的な役割に留めるのが現在の主流です。
チャネルプラン
チャネルプランは、隣接するAP同士が異なるチャネルを使うよう設計します。
- 2.4GHz帯:チャネル1、6、11の3チャネルのみを使用(日本では1-13チャネルが利用可能だが、干渉を避けるにはこの3つが最適)
- 5GHz帯:W52(36,40,44,48ch)、W53(52,56,60,64ch)、W56(100-144ch)から選択。DFS対応チャネルはレーダー検知時に切替が発生するため、安定性重視ならW52を優先
- 6GHz帯(Wi-Fi 6E):利用可能チャネルが多く、干渉が少ない。対応機器があれば積極的に活用
認証方式の選定
| 認証方式 | 概要 | セキュリティ | 推奨用途 |
|---|---|---|---|
| WPA2/WPA3-Personal(PSK) | 共有パスワードで接続 | 中(パスワード漏洩リスク) | 小規模オフィス、ゲスト用 |
| WPA2/WPA3-Enterprise | RADIUSサーバーで個別認証 | 高 | 社員用メインSSID |
| 証明書認証(EAP-TLS) | クライアント証明書で認証 | 最高 | 高セキュリティ環境 |
| MAC認証 | MACアドレスで接続制限 | 低(偽装可能) | IoT機器等の補助的利用 |
ポイント:社員用SSIDにはWPA2/WPA3-Enterprise(802.1X認証)を強く推奨します。Active DirectoryやRADIUSサーバーと連携すれば、退職者のアクセス即時無効化が可能です。PSK方式では退職者が出るたびにパスワードを変更する必要があり、全員に再設定を依頼する手間がかかります。
6. セキュリティ設計
ネットワークセキュリティは多層防御(Defense in Depth)の考え方で設計します。単一の防御に頼らず、複数のセキュリティ対策を組み合わせることが重要です。
UTM/ファイアウォールの選定
中小企業ではUTM(統合脅威管理)が最も費用対効果の高い選択肢です。主要製品を比較します。
| 製品 | 特徴 | 推奨規模 | 価格帯 |
|---|---|---|---|
| FortiGate 40F/60F | コストパフォーマンス最高。豊富な機能 | 10~100名 | 5~25万円(+年間ライセンス) |
| YAMAHA RTX1300 | VPN性能が高い。日本語マニュアル充実 | 10~50名 | 15~20万円 |
| Sophos XGS | クラウド管理対応。Synchronized Security | 20~200名 | 10~40万円 |
| Meraki MX | 完全クラウド管理。導入が簡単 | 10~500名 | 10~50万円(+年間ライセンス) |
DMZの構成
外部に公開するサーバーがある場合は、DMZ(非武装地帯)を設計します。DMZは外部ネットワークと内部ネットワークの中間に位置し、外部からのアクセスを受け付けつつ、内部ネットワークを保護する役割を持ちます。
- DMZに配置するもの:Webサーバー、メールサーバー(リレー)、リバースプロキシ
- DMZに配置しないもの:データベースサーバー、ファイルサーバー、Active Directory
- 通信ルール:外部→DMZ(必要なポートのみ許可)、DMZ→内部(最小限のみ許可)、内部→DMZ(管理用のみ許可)
アクセス制御の基本方針
ネットワークアクセス制御は「最小権限の原則」に基づいて設計します。
📋 具体例
中小企業のファイアウォールポリシー設計例:1)社員PC→インターネット:HTTP/HTTPS/DNS許可、その他拒否。2)社員PC→サーバーセグメント:ファイル共有(445)、Webアプリ(443)、RDP(3389)のみ許可。3)サーバー→インターネット:Windows Update、ウイルス定義更新のみ許可。4)ゲスト→すべて:インターネットへのHTTP/HTTPSのみ許可。5)デフォルト:すべて拒否(暗黙のDeny)。このようにホワイトリスト方式で運用し、必要な通信だけを開放するのが鉄則です。
7. 監視・運用設計
ネットワークは構築して終わりではありません。安定稼働を維持するためには、継続的な監視と定期的なメンテナンスが不可欠です。
監視ツールの選定
| ツール名 | 種別 | 特徴 | コスト | 推奨度 |
|---|---|---|---|---|
| Zabbix | OSS | 高機能。SNMP/エージェント監視。学習コスト高め | 無料 | 中~大規模向け |
| PRTG Network Monitor | 商用 | 直感的なUI。100センサーまで無料 | 無料~有料 | 中小企業に最適 |
| Nagios / LibreNMS | OSS | 歴史が長く情報が豊富 | 無料 | Linux環境に慣れた方向け |
| Datadog | SaaS | クラウド型で導入が簡単。高度な可視化 | 有料(高め) | クラウド中心の環境向け |
ポイント:ひとり情シスには「PRTG Network Monitor」が最適です。100センサー(監視ポイント)まで無料で使え、Windows環境で動作し、設定もGUIベースで直感的。SNMPでスイッチやルーターの状態を監視し、Pingでサーバーの死活監視を行い、異常時にメールやTeamsに通知を飛ばせます。
アラート設計
監視アラートは「重要度」と「通知方法」を適切に設計しないと、アラート疲れを引き起こします。
| 重要度 | 条件例 | 通知方法 | 対応目安 |
|---|---|---|---|
| Critical(緊急) | コアスイッチダウン、インターネット断 | 電話+SMS+メール | 即時対応 |
| Warning(警告) | 回線利用率80%超、ディスク80%超 | メール+Teams | 当日中に確認 |
| Information(情報) | 機器再起動、設定変更検知 | メールのみ | 翌営業日に確認 |
定期メンテナンス項目
以下の項目を定期的に実施し、ネットワークの健全性を維持します。
- 週次:監視ダッシュボードの確認、トラフィック傾向の把握
- 月次:ファームウェア更新の確認、ログの確認と分析、IP管理表の整合性チェック
- 四半期:セキュリティパッチの適用、バックアップからのリストアテスト、無線AP電波状況の確認
- 年次:ネットワーク構成図の更新、キャパシティプランニング、UTM/FWライセンスの更新確認
⚠️ 注意
ファームウェア更新は必ず業務時間外に実施し、事前にバックアップを取得してください。更新失敗時のロールバック手順も準備しておきましょう。また、重要なセキュリティパッチ以外は、リリース直後ではなく1~2週間様子を見てから適用するのが安全です。
8. ドキュメント管理
ひとり情シスにとってドキュメントは「もう一人の自分」です。自分が不在の時でも、ドキュメントを見れば誰でも最低限の対応ができる状態を目指しましょう。
必須ドキュメント一覧
| ドキュメント名 | 内容 | 更新頻度 | 保管場所 |
|---|---|---|---|
| ネットワーク構成図(物理) | 機器の接続関係、ケーブル種別、ポート番号 | 変更時 | SharePoint / NAS |
| ネットワーク構成図(論理) | VLAN構成、IPアドレス体系、ルーティング | 変更時 | SharePoint / NAS |
| IPアドレス管理表 | 全IPアドレスの割り当て状況 | 変更時 | Excel / スプレッドシート |
| 機器台帳 | 機器名、型番、シリアル、設置場所、保守期限 | 変更時 | Excel / スプレッドシート |
| 設定バックアップ | ルーター、スイッチ、UTMの設定ファイル | 変更後すぐ | NAS / クラウドストレージ |
| 障害対応手順書 | よくある障害の対応手順、連絡先一覧 | 年次見直し | 共有フォルダ+紙 |
| パスワード管理 | 機器のログイン情報 | 変更時 | パスワードマネージャー |
構成図の作成ツール
- Microsoft Visio:定番。ネットワーク用ステンシルが豊富
- draw.io(diagrams.net):無料。ブラウザで使え、Visioファイルのインポートも可能
- Cacoo:オンライン共同編集が可能。チームでの作業に向く
設定バックアップの自動化
ネットワーク機器の設定バックアップは変更のたびに手動で行うのが理想ですが、忘れを防ぐために自動化も併用しましょう。
📋 具体例
YAMAHA RTXシリーズの設定バックアップ自動化:YAMAHAルーターにはUSBメモリへの自動バックアップ機能があります。「usb host use on」「schedule at 1 */* 03:00 * save config usb1:/backup_config.txt」のように設定すれば、毎日深夜3時に設定ファイルがUSBメモリに保存されます。FortiGateの場合はFortiManager、またはREST APIを使ったスクリプトで自動バックアップが可能です。
ポイント:ドキュメントは「作る」だけでなく「維持する」ことが重要です。ネットワーク変更時にドキュメントを更新する習慣をつけましょう。変更作業チェックリストに「ドキュメント更新」を必ず含めることで、ドキュメントの陳腐化を防げます。また、年に1回はドキュメントの棚卸しを行い、実際の構成と一致しているか確認しましょう。