「ランサムウェアに感染したPCが1台あるだけで、社内ネットワーク全体に広がってしまった」——そんな被害報告が後を絶ちません。
多くの中小企業のネットワークは、すべての機器が同じネットワーク上に繋がっている「フラット構成」になっています。この状態だと、攻撃者が一度侵入すれば社内を自由に動き回ることができます。被害がどこまで広がるか、事前には予測できません。
この記事では、ネットワークを論理的に分割して被害の横拡散を防ぐ「VLAN(仮想LAN)」と「ネットワークセグメンテーション」について、仕組みから中小企業での実践的な設計・設定手順まで解説します。
VLANとネットワークセグメンテーションとは?
VLAN(Virtual LAN)とは、1台のスイッチを複数の仮想的なネットワークに分割する技術です。物理的なケーブル配線を変えることなく、ソフトウェアの設定だけでネットワークを分離できます。
ネットワークセグメンテーションとは、組織のネットワークを役割や信頼レベルに応じて複数の「セグメント(区画)」に分ける設計思想のことです。VLANはその実現手段の一つです。
| 用語 | 意味 | 位置づけ |
|---|---|---|
| ネットワークセグメンテーション | ネットワークを分割する設計思想・戦略 | 概念・方針 |
| VLAN | スイッチ上でネットワークを論理分割する技術 | 実現手段の一つ |
| サブネット | IPアドレス範囲でネットワークを区切る仕組み | 実現手段の一つ |
フラットネットワークが危険な理由
社内の全機器が同一ネットワーク(例:192.168.1.0/24)に繋がっている状態を「フラットネットワーク」と呼びます。構築が簡単で管理の手間が少ない半面、セキュリティ上の弱点が大きくあります。
1. ラテラルムーブメントを許してしまう
ラテラルムーブメント(横移動)とは、攻撃者が最初に侵入した端末から、同一ネットワーク内の他のサーバーや機器へ次々に移動していく行動です。フラットネットワークではこの横移動を何も遮るものがないため、1台のPCが感染すると数時間以内にファイルサーバーや基幹システムまで到達される危険があります。
2. 内部からの不正アクセスも防げない
外部からの攻撃だけが問題ではありません。退職者のアカウントが残っていた、内部の悪意ある社員が財務データにアクセスした、といったケースでも、フラットネットワークでは制限が機能しません。
3. IoT機器が突破口になる
監視カメラやスマートテレビ、複合機などのIoT機器は、ファームウェアのアップデートが遅れ、既知の脆弱性が残ったままになりやすい機器です。これらが業務PCと同じネットワーク上にある場合、IoT機器を足がかりにして業務システムへ侵入されるリスクがあります。
VLANの仕組み:アクセスポートとトランクポート
VLANを正しく設定するには、2種類のポート概念を理解しておく必要があります。
1. アクセスポート(端末接続用)
PCやサーバーなど、1つのVLANにしか属さない機器を繋ぐポートです。接続した機器側はVLANを意識しなくても動作するため、既存の端末をそのまま使えます。
# Cisco IOS 例:ポートをVLAN 10(業務系)に割り当て Switch(config)# interface GigabitEthernet0/1 Switch(config-if)# switchport mode access Switch(config-if)# switchport access vlan 10
2. トランクポート(スイッチ間・ルーター間接続用)
複数のVLANをまとめて1本のケーブルで伝送するポートです。IEEE 802.1Qというタギング規格を使い、パケットにVLAN IDを付与して識別します。スイッチ同士を繋ぐアップリンクや、ルーターへの接続に使います。
# Cisco IOS 例:トランクポートの設定 Switch(config)# interface GigabitEthernet0/24 Switch(config-if)# switchport mode trunk Switch(config-if)# switchport trunk allowed vlan 10,20,30,40
3. VLAN間通信にはL3機器が必要
VLANを分けると、デフォルトではVLAN同士は通信できません。「業務PCからファイルサーバーへアクセスしたい」など、異なるVLAN間で通信が必要な場合は、ルーターまたはL3スイッチを経由させてアクセス制御を行います。この構成を「Router-on-a-Stick」と呼び、ファイアウォールをVLAN間通信の制御点として配置する設計が一般的です。
中小企業が実践すべき4つのVLAN分割設計
理論はわかった。では実際にどう設計するか——ここが最も重要なポイントです。まずは次の4つのセグメントに分けることを目標にしましょう。これだけで、フラットネットワークよりも格段にリスクを下げられます。
| VLAN ID | 用途 | 含まれる機器の例 |
|---|---|---|
| VLAN 10 | 業務PC系 | 社員のデスクトップPC・ノートPC |
| VLAN 20 | サーバー系 | ファイルサーバー・業務サーバー・NAS |
| VLAN 30 | 管理系 | スイッチ・ルーター・UTM等のネットワーク機器 |
| VLAN 40 | ゲスト・IoT系 | 来客Wi-Fi・プリンター・監視カメラ・スマートTV |
1. ファイアウォールポリシーで通信を制御する
VLANを分けただけでは不十分です。VLAN間をまたぐ通信は必ずUTMやファイアウォールを経由させ、アクセス制御リスト(ACL)で制限します。基本ポリシーの考え方は次の通りです。
・業務PC → サーバー: 必要なポートのみ許可(SMB/445等は運用上必要な場合のみ)
・管理系: 管理者専用端末からのみ接続許可、他はすべて拒否
・ゲスト・IoT: インターネットのみ許可、社内セグメントへの通信はすべて拒否
2. Wi-FiのSSIDとVLANを紐付ける
無線LANのSSIDとVLANを対応させることで、有線と同等のセグメント管理を無線にも適用できます。
・社員用SSID: VLAN 10(業務PC系)に紐付け
・ゲスト用SSID: VLAN 40(ゲスト系)に紐付け
ゲストWi-Fiを社員用と同じネットワークに乗せているケースは非常に多く、最優先で改善すべきポイントです。
中小企業でも今日からできること
1. まずゲスト・IoTを分離する(最優先)
マネージドスイッチがなくても、多くのSOHO向けルーターに「ゲストネットワーク」機能が搭載されています。来客のPC・スマートフォンや監視カメラを社内LANから分けるだけでも、攻撃の侵入口を大幅に減らせます。
2. マネージドスイッチに切り替える
アンマネージドスイッチ(VLAN設定ができない普通のハブ)しかない場合は、マネージドスイッチへの移行を検討しましょう。ネットギア・バッファロー・TP-Linkなど、数万円台からVLAN対応製品が入手できます。
3. UTMでVLAN間通信を一元管理する
ヤマハRTXシリーズ・FortiGate・SonicWALLなどのUTM(統合脅威管理装置)を導入すると、VLANの管理とアクセス制御・脅威検知を一つの機器で行えます。情シス1人体制でも管理しやすく、中小企業向けのコスト帯の製品も充実しています。
よくある誤解と注意点
【誤解1】VLANで分ければセキュリティは完璧になる
VLANはあくまで「被害の横拡散を封じ込める」技術です。VLAN間の通信を許可しているファイアウォール自体が侵害されれば、セグメントをまたいで移動されます。VLANはゼロトラストセキュリティを構成する一要素として捉え、多層防御の一部として活用してください。
【誤解2】VLAN間の通信はすべて遮断すべき
業務上必要な通信まで遮断すると、業務が停止します。「何を許可し、何を拒否するか」をホワイトリスト方式(許可するものを明示的に列挙する方式)で整理してからポリシーを作ることが大切です。
【注意】VLANホッピング攻撃への対策を忘れない
設定が不適切だと「VLANホッピング」と呼ばれる攻撃を受ける可能性があります。これは、攻撃者がDTP(Dynamic Trunking Protocol)の仕組みを悪用して、本来アクセスできないVLANへ侵入する手法です。
対策として次の3点を必ず実施してください。
・未使用ポートを孤立VLANに割り当て、shutdownする: 攻撃の足がかりとなるポートをなくします
・DTPを無効化する: アクセスポートでは switchport nonegotiate を設定します
・ネイティブVLANをVLAN 1から変更する: VLAN 1はデフォルト設定のままにしないことが原則です
# DTP無効化(Cisco IOS) Switch(config-if)# switchport nonegotiate # ネイティブVLAN変更(VLAN 1以外に変更) Switch(config-if)# switchport trunk native vlan 999 # 未使用ポートをシャットダウン Switch(config)# interface range GigabitEthernet0/10 - 24 Switch(config-if-range)# switchport access vlan 999 Switch(config-if-range)# shutdown
本記事のまとめ
VLANとネットワークセグメンテーションの要点をまとめます。
| ポイント | 内容 |
|---|---|
| フラットネットワークの危険性 | 1台が侵害されると社内全体に被害が拡散するリスクがある |
| VLANの役割 | 論理的なネットワーク分割で、侵害の横拡散を封じ込める |
| 最低限の4分割 | 業務PC / サーバー / 管理 / ゲスト・IoTの4セグメントから始める |
| VLAN間通信の制御 | ファイアウォール・ACLで許可ポリシーをホワイトリスト方式で設定 |
| VLANホッピング対策 | DTP無効化・未使用ポートのシャットダウン・ネイティブVLAN変更 |
| 今日からできること | まずゲストWi-Fiを分離するだけでも即効性がある |
ネットワークセグメンテーションは「大企業だけのもの」ではありません。むしろ、専任のセキュリティ担当がいない中小企業こそ、設計段階で侵害の拡散を封じ込める仕組みを作ることが重要です。
Linuxサーバー上でのネットワーク設定(firewalldによるゾーン管理や権限制御)については、姉妹サイトLinuxMaster.JPでも詳しく解説しています。
社内ネットワークのセキュリティ設計、どこから手をつければいいかわからない方へ
VLANや侵入検知、インシデント対応まで、情シス担当者が実践できる知識を体系的にお届けしています。
正しいセキュリティ知識を体系的に身につけたい方へ、メルマガで実践的なセキュリティ対策ノウハウをお届けしています。
コメント