【IT】社内のネットワーク設計(LAN構築)が甘いとセキュリティやパフォーマンスに影響する

2024.08.29
社内ネットワーク

相次ぐ情報流出

個人情報流出事件が多発する2024年。

KADOKAWAの25万件超、イトセー(自治体や企業から印刷業務を委託)の150万件超はニュースでも大きく取り上げられた。

原因は様々あるが、業務の効率化にITシステムを導入しながらその規模に見合った人員や予算をあてがっていないのも一因だろう。

情報システム担当者が手薄

いずれ個人情報を扱うシステムの運用には、情報セキュリティの国家資格取得者の配置が義務付けられるかも知れない。

現金輸送車に最低1名「貴重品運搬警備業務検定」の合格者を配置するように。

情報セキュリティー担当

それはさておき。

本記事では、ITに疎い中小企業がやりがちなネットワーク構築の失敗例を紹介したい。

ネットワーク構築の失敗例

例えば社屋を移転する事になったとする。

移転・改装

パソコンやコピー機は梱包して搬送。

パソコン等の機器

しかしインターネット回線は現地の建物で新規契約する必要があるし、社内ネットーワーク(LAN)のやり直しは必要だ。

業者に頼めばそれなりに費用がかかる。

知識がないと適切価格かどうかも判断できない。

業者に依頼すると費用がかかる

ネットワークやセキュリティに疎い経営者なら、何とか費用を抑えるために若手社員にやらせることも珍しくない。

社員に任せる

作業自体は割と簡単。

インターネット回線は業者が敷いてくれる。

光回線工事

一般家庭と同じようにWi-Fiルーターを設置し、移転前のプロバイダ情報を登録するだけでインターネットには接続できる。

インターネットOK

Wi-FiルーターのLANポート(普通は4つ)は少ないが、5個口や8個口のHUBを購入すれば有線接続台数を増やせる。

HUBのメーカーはどこでも良いが、1台でも伝送速度が遅いとボトルネックになるので全てGiga対応(1000Mbps以上)で統一。

ボトルネック

バッファロー製品だと3000~5000円ぐらい。

これで1つ目のフロアは完成。

総務インターネットOK

長いLANケーブルを買ってきて、床下配線で2つ目以降のフロアと連結すればそちらでもインターネットが可能になる。

各フロアにWi-Fiルーターを置けば無線もばっちり。

少人数なら家庭用Wi-Fiルーターで十分だけど、接続台数が数百台とかになるなら法人向け製品を選んだ方が良い。

長いLANケーブルで床下配線

これで全フロアがインターネットOK。

全フロアインターネットOK

通常業務は問題なくこなせるだろう。

通常業務

しかしこの構成にはリスクがある。

まず複数フロアを数珠繋ぎにしたことで、いくつかの通信区間に大きな負荷がかかる。

通信の多い区間

何より根本(インターネットの出口)のルーターの処理量がとんでもないことになる。

一般的な家庭用Wi-Fiルーターでも30台ぐらいなら難なく処理できるだろうが、数百台の端末を処理するのはとても無理だ。

処理が追い付かないと、極端にネットが遅くなったり接続不可になる。

膨大なデータを処理できる性能ではない

これを道路に例えると、人気施設が並んでいる道が一直線でしかも高速道路の料金所のゲートが1つしかないようなもの。

平日はともかく週末は大渋滞だろう。

渋滞が発生しやすい

料金所を拡張して動線を分離すれば解消。

渋滞を解消

ネットワークも同様に、線を分けて出口に高性能ルーターを設置すれば安定する。

家庭用ではなく法人用のルーターなら数百人でも大丈夫。

高性能ルーター

根本には有線LANルーターが適切。

有線LANルーターを「前時代の機器」と誤解している人もいるが、法人向け製品は高性能かつ企業を守る機能を備えている。

製品によって処理能力が数倍~数十倍違う。

ただし価格は数万~数十万円と高額。

有線と無線のルーター

ルーターといえばシスコ社が有名だけど、ヤマハ社やバッファロー社といったメーカーでも法人向け製品は販売している。

処理能力や機能、サポート体制、予算など自社のニーズを満たす製品を選ぼう。

法人向けルーターが持つ代表的な機能の1つにVLAN(ブイラン)がある。

単に中継するだけではなく、ポート単位(口ごと)で通信の許可/遮断を設定可能。

VLANで他フロアへの通信を遮断

ポートが「1」「2」「3」「4」と4口あり「1」がインターネットの出口だとしよう。

「4」は「1」とだけ通信許可という風に設定してやれば、インターネットはできるが他のフロアとの通信は遮断できる。

これはセキュリティ的にとても重要。

VLAN設定

例えば業務フロア、休憩室、ゲストルームがあるとする。

3つのフロア

もし、ゲストの持ち込んだパソコンがウイルスに汚染されていたとしても、回線が分かれていれば被害は最小限で済む。

客のパソコンがウイルス感染

今の時代、Wi-Fiを希望する来客は多い。

業者やお得意様からの要望をどうしても断れないなら、業務フロアの端末を危険にさらさない運用を考えることは大事だ。

ホテルの受付と客室、病院のナースステーションと病室、学校の職員用と生徒用など通信を分離するのは基本中の基本だろう。

近年はWi-Fiルーター自体に「ゲストポート」の機能を備える製品も増えた。

Wi-Fiを希望する人

他にもファイアウォール機能はもちろん、不審な挙動を検知したり、社内端末がアクセスしたWebサイトを記録したりできる。

仕事中にサボって株のトレードをしたり、夜中こっそり怪しげなサイトを閲覧するような社員はログを確認すれば一目瞭然。

監視を公言しておけば抑止力になるはずだ。

ファイアウォール

ただ、高性能LANルーターさえ設置すれば安泰という訳ではない。

例えばネットにあるファイルをダウンロードする行為は、業務上必要な事もあるのでルールとして禁止するのは難しい。

当然ルーターは素通りだ。

ダウンロード許可

もしダウンロードしたファイルにウイルスが仕込まれていて、ウイルス対策ソフトに定義がなく対処してくれなかったら?

社内にウイルスが入り込んでしまう。

これがランサムウェアなら被害は深刻。

ウイルスが仕込まれていた

ネットワーク設計も大事だけど、それとは別に社員への情報セキュリティー教育も行わないと被害は防げない。

いかに守りが堅牢で大多数の社員が優秀でも、たった1人無警戒にメールの添付ファイルを開く社員がいるだけで台無しだ。

トラブル

災害時の想定

セキュリティやパフォーマンスに比べれば優先順位は下がるけど、いざという時(災害時)のことを考えた設計も求められる。

例えば停電時。

サーバーがクラウド上にあって無事だとしても、業務アプリが入った端末やネット機器が停止した状態ではアクセスできない。

停電したら「誰が、どのタイミングで、非常用電源に何と何を繋ぐ」といった手順をマニュアル化しておくことは大事。

災害時の備え

今後に向けて

社屋移転はめったに無いとしても、2025年のWindows 10サポート終了で業務端末を一斉に入れ替える会社はあると思う。

Windows 10パソコンの入れ替え

もしネットワーク設計をやり直すならよく考えよう。

必ずしも業者に頼む必要はない。

ただ、知識がある社員を同席させて「業者ならどの機器を選定するか」「どういう作業が必要か」を聞くだけでも参考になる。

見積

見積は無料というところも多い。

あいみつをとって「この金額なら業者に任せよう」「それぐらいはできそうだからうちでやろう」を判断するのが賢明。

もし情報流出が起きた時に管理者としてテキパキ指示する自信がないなら、そのような事件を起こさない体制作りが肝心だ。