企業ネットワークにおいて、LAN内のセグメント分割(ネットワークを分離すること)はセキュリティ強化の基本施策です。
本記事では、VLAN(Virtual LAN)による論理的なネットワーク分離と固定IPアドレス割り当ての考え方を中心に、社内LANの安全性を高める設計手法について解説します。
ネットワークの基本知識をお持ちの情報システム担当者の方に向けて、ポイントを整理してご紹介します。
⇒【ロリポップ!固定IPアクセス】 月額490円、すぐに使えて最大2ヶ月間無料!
VLANの基礎と役割
VLAN(Virtual Local Area Network)とは、物理的なネットワーク構成とは独立にLANを仮想的に分割し、複数の論理ネットワーク(セグメント)を作る技術です。
スイッチの設定によって一つのLANスイッチ上に複数のネットワークを作り出すことができ、部署ごとや用途ごとにネットワークを柔軟に分離できます。
物理的にケーブルを繋ぎ替える必要がなく、ソフトウェア設定のみでネットワークを区切れるため、同じオフィス内の機器でも所属VLANを変えることで論理的に隔離された通信グループを構成できるのが特徴です。
これにより、一つの大きなLANに多数の機器がぶら下がって通信が混雑したり管理が煩雑になるのを防ぎ、ネットワーク構成を整理しやすくするという役割があります。
また、VLANによってネットワークが分割されると各セグメント内だけで機器同士が直接通信できるようになり、別のVLANに属する機器とは原則直接やり取りできません。
このようなネットワークの論理的な境界を作ることで、機器がアクセスできるデータや到達できる範囲を制限できる点もVLANの重要な役割です。
⇒【ロリポップ!固定IPアクセス】 月額490円、すぐに使えて最大2ヶ月間無料!
なぜVLAN設計がセキュリティ向上に寄与するのか
VLANによるネットワーク分離は、セキュリティ面で多くのメリットをもたらします。
ネットワークをセグメント化することで得られる代表的な効果を見てみましょう。
- 通信可能範囲の限定による被害拡大防止 VLAN環境では各セグメント間の通信が遮断または制限されます。 同じVLAN内でしかブロードキャストや直接通信が届かなくなるため、仮に内部で不正な通信やマルウェア感染が発生しても、その影響を該当セグメント内部に封じ込めることが可能です。 ネットワーク全体への感染拡大や不正アクセスの横展開を防ぎ、被害を最小限に抑えることができます。
- ブロードキャストトラフィックの抑制 VLANはブロードキャストドメイン(LAN内でブロードキャストパケットが届く範囲)を分割します。 一つのLANに機器が集中しているとARPやDHCPのブロードキャストなどが全域に飛び交い負荷になりますが、VLANで分けることで不要な宛先へのブロードキャスト送信を減らせます。 これによりネットワーク全体のトラフィック量を削減し、ブロードキャストを悪用するマルウェアの拡散範囲も限定できます。
- アクセス制御の強化と情報漏えい防止 セグメント分割により、ネットワーク間にルーターやファイアウォールを設置してセグメント間の通信に制限をかけることが容易になります。 例えば、「営業部門ネットワークからは経理部門サーバーにアクセス不可にする」「来客用ネットワークから社内ネットワークへのアクセスは全面禁止にする」といったポリシーを明確に適用できます。 VLANで部署や用途ごとにネットワークを切り分けておけば、セグメント境界でのアクセスフィルタリング設定によって不要な通信経路を遮断し、内部からの情報漏えいリスクを下げられます。
- セキュリティポリシーの分離適用 部署ごと・用途ごとにネットワークを分けることで、それぞれのグループに適切なセキュリティ対策を個別適用できます。 たとえば、人事部門のネットワークでは機密データ保護のため通信を厳格に制限し、開発部門のネットワークでは社内サーバーへのアクセスを許可するといったセグメントごとのポリシー管理が可能です。 他部門や用途の異なる機器同士が同じセグメントに混在しないようにすることで、「ゲスト用Wi-Fiから社内の重要サーバーに到達できてしまう」などの危険な状態を未然に防ぎます。
以上のように、VLAN設計によってネットワークを細かく分割し適切に管理することは、内部犯行やマルウェア拡散のリスク低減、アクセス権限の明確化など多方面でセキュリティ向上に寄与します。
ただし、VLAN間の通信が必要な場合はルーターやL3スイッチでの中継設定やACL(アクセス制御リスト)設定も必要になるため、設計時には業務上の通信要件も考慮してセグメント化しましょう。
⇒【ロリポップ!固定IPアクセス】 月額490円、すぐに使えて最大2ヶ月間無料!
セグメント分割と固定IPアドレスの管理
VLANによってネットワークを分割すると、それぞれのセグメント(サブネット)ごとにIPアドレスの設計と管理が必要になります。
ここでは、セグメントごとのIPアドレス割り当て方法と固定IPの扱いについて押さえておきます。
まず、各セグメントは独立したIPネットワーク(例えば192.168.10.0/24や192.168.20.0/24のような/24サブネット)としてアドレス計画を行います。
セグメントが複数ある場合、DHCPサーバーを利用するなら各セグメントに対応したスコープを設定する必要があります。
適切に設定しておかないと、特定のサブネットでクライアントにIPが割り当てられない、あるいは誤ったネットワーク情報が配布されるといったトラブルの原因になります。
各サブネットにDHCPサーバー(またはDHCPリレー)を用意し、それぞれ正しいIPレンジとゲートウェイ・DNS情報を配布するようにしましょう。
次に、固定IPアドレスと動的IPアドレス(DHCP)の使い分けです。
セグメント内の端末にIPを割り当てる方法として、重要サーバーやルーター・スイッチなど常設でアドレスが変わっては困る機器には固定IPを用い、一般クライアントPCやモバイル端末にはDHCPで自動割り当てするのが一般的です。
固定IPは人手で設定するため管理の手間がかかりますが、その機器の住所となるIPが変動しない利点があります。
一方DHCPは管理者の負担を減らせますが、アドレスは動的にリースされるため、機器を識別した恒久的な設定(例えばファイアウォールで特定端末のIPを許可する等)には向きません。
運用上はこの両者を組み合わせ、機器の役割に応じて適切な割り当て方法を選択すると良いでしょう。
IPアドレス設計のポイント 固定IPとDHCPを併用する場合、アドレス帯域をあらかじめ用途別に分けて計画することが重要です。 例えば各サブネット内で「◯◯〜◯◯の範囲は固定割り当て用、△△〜△△の範囲をDHCP用」と明確に区切っておけば、後から機器を追加する際も衝突や重複を避けられます。 加えて、DHCP環境でも特定の端末を固定IP扱いにしたい場合は、MACアドレスに対して決まったIPをリースするDHCP予約機能を活用する方法もあります。 以下はとある小規模社内LANのアドレス設計例です。
- ゲートウェイ・ルーター: 各セグメント共通で「.1」を割り当て(例: 192.168.20.1)
- 固定IP割り当て範囲 部署内サーバーや特定の業務用PCに対し「.10〜.50」番台を固定割り当て
- DHCP割り当て範囲 上記固定域以外の汎用端末向けに「.100〜.200」番台をプールとして設定(必要に応じ拡張)
- 周辺機器の例 ネットワークプリンタは「.240番台」、ネットワーク機器(管理用インターフェース)は「.250番台」に固定割り当てして区分管理
このようにルールを決めておくことで、「誤って他機器と同じIPを手動設定してしまった」「DHCPの範囲と固定設定が重複して競合した」といったミスを防ぎやすくなります。
各セグメントごとに適切なIPアドレス計画を立て、一覧表やIP管理台帳を用いて運用管理することが大切です。
⇒【ロリポップ!固定IPアクセス】 月額490円、すぐに使えて最大2ヶ月間無料!
実際のVLAN設計例(部門別・用途別のセグメント分離)
では、具体的にどのようにネットワークを分割するか、その一例を見てみます。
VLANによるセグメント設計は、大きく「部門(組織)単位で分ける方法」と「用途・機能(ネットワークの役割)単位で分ける方法」があります。
実際の環境ではこれらを組み合わせて柔軟に設計することも多いですが、ここでは典型的な例としてそれぞれの場合を紹介します。
① 部門別にVLANを分離する例 社内の組織構造に合わせてネットワークを部署・チームごとに独立させる方法です。例えば以下のようなVLANとサブネットを割り当てます。
- 総務部 VLAN10 サブネット 192.168.10.0/24 (DHCP割り当て範囲: 192.168.10.100〜199 等)
- 開発部 VLAN20 サブネット 192.168.20.0/24 (DHCP割り当て範囲: 192.168.20.100〜199 等)
- 営業部 VLAN30 サブネット 192.168.30.0/24 (DHCP割り当て範囲: 192.168.30.100〜199 等)
各部門のPCやサーバーはそれぞれ対応するVLANのスイッチポートに接続します。
こうすることで部門間の通信はデフォルトでは遮断され、ある部門だけが利用する内部サーバーなどは他部門から直接アクセスできなくなります。
必要に応じて部門間の通信を許可する場合も、ルーター/ファイアウォール上でポリシーを設定することで「営業部から総務部サーバーへの接続は禁止」など明確なアクセス制御を適用できます。
部門別VLANは、組織単位でのトラフィック分離とセキュリティポリシーの適用範囲の明確化に有効です。
② 用途・機能別にVLANを分離する例 ネットワークをその用途や機能に応じて分割する方法です。 典型的には、社内システム用と一般クライアント用、来訪者用などネットワークの利用目的ごとにセグメントを切り分けます。 例えば以下のような構成が考えられます。
- サーバー用 VLAN10 社内の重要サーバーや共用システムを配置。サブネット例 192.168.10.0/24
- 社内クライアント用 VLAN20 社員PCや社内利用のプリンタを配置。 サブネット例 192.168.20.0/24
- ゲストWi-Fi用 VLAN30 来客やモバイル端末向けのインターネット専用接続を提供。 サブネット例192.168.30.0/24
この構成では、サーバーセグメントは他のネットワークからのアクセスを必要最小限に制限し(社員ネットワークから業務上必要なサービスのみ許可、インターネットからの直接アクセスは禁止など)、機密性を高く保ちます。
社内クライアントセグメントは社員の業務に必要な範囲でサーバーやインターネットへアクセス可能としつつ、ゲストネットワークや不要な他セグメントへの通信は遮断します。
ゲスト用セグメントはインターネット接続のみに限定し、社内LANへのルートは一切持たせません。
このように用途別に分離することで、ネットワークごとに適切なセキュリティレベルを担保できます。
例えば来客用Wi-Fiから社内機密データへの経路を物理的に断つことで安心して外部向けサービスを提供できる、といったメリットがあります。
実際の企業ネットワークでは、部門別と用途別の考え方を組み合わせ、「部門内ではさらに用途別にサブセグメントを持つ」といった階層的な設計をすることもあります。
大切なのは、自社の規模や業務内容に合わせて「何をどこまで分離するべきか」を検討し、セキュリティと運用負荷のバランスを取ったネットワーク分割を行うことです。
⇒【ロリポップ!固定IPアクセス】 月額490円、すぐに使えて最大2ヶ月間無料!
ロリポップ!固定IPアクセスを使ったリモートセグメントアクセスのセキュア化
社内LANを厳重にセグメント分割すると、管理者や社員がテレワークなどで社外から各セグメント内のリソースにアクセスしたい場合に、どうセキュアにアクセス経路を確保するかという課題が出てきます。
ネットワークの入り口でファイアウォールによるIPアドレス制限を設定している企業も多く、「特定の信頼できるIPアドレスからの接続だけ許可する」というのは一般的なセキュリティ対策です。
しかし、自宅やカフェから接続する際に毎回グローバルIPアドレスが変わってしまう環境では、その都度アクセス許可するIPを変更しなければならず非現実的です。
そこで役立つのが、GMOペパボの「ロリポップ!固定IPアクセス」です。
ロリポップ!固定IPアクセスは、外出先・自宅など場所を問わずに常に同一の固定グローバルIPアドレスでインターネット接続ができるようにするVPNサービスです。
具体的には、PCやスマートフォンから専用のWireGuard VPNクライアントでこのサービスに接続すると、通信が暗号化されると同時に認証されたユーザーには専用の固定IPアドレスが付与されます。
以後、そのユーザーの通信は常にその固定IPから発信されるため、社内システムやオンプレミスサーバー側では「あらかじめ許可したIP以外からのアクセスを遮断する」ことで強力なアクセス制限を実現できます。
例えば、社内の管理画面やデータベースへのリモートアクセスを固定IPアドレスのみに限定しておけば、たとえ認証情報が漏洩しても許可IP以外からは接続できず被害を防げます。
また、従来は毎回変わる自宅回線のIPアドレスを都度登録し直す必要があったケースでも、一度固定IPを許可しておけば以降はスムーズにアクセス可能になるため利便性も向上します。
「ロリポップ!固定IPアクセス」で得られるメリット このサービスを導入することで、VPN経由の安全なリモートアクセス環境を低コストで構築できます。 最新プロトコルであるWireGuard採用により通信は高速・安定し、設定も専用アプリに発行された設定ファイルを読み込むだけと簡単です。 月額料金も539円(税込)という業界最安水準に抑えられており、最大2か月の無料お試しも可能なため導入ハードルが低い点も魅力です。 複数人で同じ固定IPを共有利用することもできるので、チームでのリモートアクセス用途にも対応できます。 社内LANをVLANでしっかり分割しつつ、社外からは信頼できる固定IP経由の接続だけを許可する——この二段構えのセキュリティ対策により、ネットワーク全体の安全性と管理性が飛躍的に向上します。
テレワーク時代の新たなセキュアアクセス手段として、ロリポップ!固定IPアクセスの活用もぜひ検討してみてください。
