セグメント分割を考えるのはいつか - 中小事業所のオフィスインフラを考える
個人的には、小さなオフィスにおいて教科書的にセキュリティがーとセグメントを切っていくのは、手間のワリにメリットが小さいと考えています。
セグメントはクラスCの256単位、いわゆるサブネットマスク255.255.255.0で、これ以上でもこれ以下でもなく。
とくに今回語っているような、専任技術者がいないような小さなオフィスでは、「わかりやすさ」「管理のしやすさ」「必要とする勉強量の少なさ」が割と重要になってくるので、パッと見てわかる、っていうのはすごく大事。
同じようにVLANも、可能な限り組まないで済ませるのが良いと思ってます。
セグメントにしてもVLANにしても、覚えること、考えることがグッと増えます。
そこをキャッチアップするには、結構な時間と根気が必要です。
別の業務が本業の人にはかなりの負担を強いることになります。
また、中小事業所の場合、人の増減、組織改編、席替えの頻度がかなり高いです。
セキュリティを考慮して細かくセグメントやVLANを組んでみたものの、その要件の前提がころころ変わってしまったら。。。
その都度、セグメント再設計、設定をやり直している余裕もないですから、ある程度の「ゆるさ」を持っていないと、セキュリティどころか必要なリソースにアクセスできなくなって業務が回らない、という状態に陥ってしまうわけで。
じゃあ、「セグメントを意識するのは、いつごろからか」って話が出てくるわけで、今回はそのテーマに触れます。
そこで働く人が80人に差し掛かる頃、IPアドレスが不足する
ノートPCだと、有線LANと無線LANの2つのIPを取るようになることが多いです。
MacBookAirみたいに有線LANポートを切り捨てても、やっぱり無線LANが不安定だったり速度が出なかったりすると、有線LANのアダプタを使う方向に流れます。
持ち込みないし会社貸与のスマホやタブレットが会社のネットワークにつなぎに来るような環境ですと、それらもIPアドレスを消費します。
従業員数の2倍ないし3倍した数字が256*1に近づく頃が、セグメント分割の考え時。
80人*3=240。
ここに、複合機やネットワーク機器、サーバー機器などが数台あるだけで、256を超えることになります。
おそらくは、DHCPの配布アドレスが足りなくなって「ネット繋がらない!」とひと騒ぎして、そこで気づく事になります。
自己割り当てIPアドレス「169.254.xxx.xxx」に何度か出会うようになったら、まずこの問題だと思っていいです。
そして、解決方法として、セグメントを分割し、DHCPスコープを複数定義することに。
当然、セグメントを分ける際に、「何をどっちのセグメントに分ける」というところの整理も入ります。
なお、使っているルーターが家庭用やNTTからのレンタル品だったりすると、もっと手前からDHCPのIPアドレス枯渇問題にぶつかります。
NTTひかり電話オフィスでレンタルされるVoIPアダプタ兼ルータである「OG800X」ですと、DHCPサーバー機能が付いているとはいえ64個しか払い出しができない残念仕様です。
その段階では、ルーターの交換や、DHCP機能だけを別途サーバーを立てて逃がすなどで対処することになり、セグメントを分ける話にはならないかと思いますが。
ゲスト専用LANを提供する
導入検討している製品やサービスについて、来訪してもらってデモを見せてもらうなど、来客用にインターネット接続を解放したいけど、社内のネットワーク環境には一切入らせたくない、という時に、それ専用のLANを用意するのがゲストLAN。
ただ、このご時世、モバイルルーターやテザリングが普及してきたので、売り込み来訪者側が用意してくる事が殆どになりましたので、この要件でセグメント分割が必要になる事は減っているかと思います。
ゲスト用に作ったセグメントでゲスト無線LANを提供したら、実際にゲストLANに接続しているのは社員の私物スマホばかりでした、というケースも。
私物はゲスト用につないでもらう方がセキュリティ的にはありがたい話なので、よほど帯域が逼迫していないかぎり、目くじら立てずにどうぞ。
オフィスフロアを複数借りる
同一ビルでの複数フロア賃借や、離れた場所に拠点を設ける場合。
必須ではないですが、分けておくのが無難です。
東京と大阪の2拠点の場合、東京は192.168.1.0/24、大阪は192.168.100.0/24、とするなどですね。
VPN等で拠点間のLAN接続をしてなかったとしても、セグメントは分けておいた方が管理上ラクになるかと思います。
同一IPアドレス帯だと、将来的にVPNを組むことになったらどちらかは変更が発声することが大半ですし、VPNを組まないとしても、社外サービスを利用する際に、そのサービスの管理機能等には接続元のローカルIPアドレスが表示・記録されるケースがあると、そのローカルIPアドレスを見るだけで、どこの拠点の端末なのかわかるようになりますので。
なお、192.168.1.0/24は、社外サービスとの間でVPNを組むときに衝突することがある、などの理由で回避することを推奨する方もいます。
市販のネットワーク機器のデフォルトが192.168.1.0/24だったり、ネットワークの基礎本の開設例が192.168.1.0/24であるケースも多いので、これは落とし穴ですね。
他にもあるかもしれませんが、とりあえずこの3つは、セグメント分割を考えるきっかけとになるかと思います。
セグメントを分ける事になる場合、必要になる知識がぐっと上がって、家庭内LAN構築経験程度や、SIerの新人研修のNW基礎程度*2では済まなくなるので、この辺りを独学でキャッチアップできそうにない場合は、素直に専門業者を頼りましょう。
本格的なファイアウォールやUTMを導入する
中小事業所は、暫くの間はルーターの簡易ファイアウォール機能、いわゆるポートフィルタリング機能に頼っているかと思います。
しかし、ログの情報量が少なかったり、異常検知の機能が弱かったり、一般的なプロトコルで正常な通信を装っている場合は手がだせません。
そこで、次に手を打つのは、「詳細なログが取れる」「レポート・アラート機能が充実」「アプリケーションレベルでトラフィックコントロールができる」といったところになります。
このとき、ただ社内と社外の通信をコントロールする、という使い方だけでなく、社内間通信に適用する、という使い方もできます。
サーバーセグメントとクライアントセグメントを分離し、サーバーセグメントにアクセスする通信を詳細にログをとり、また、アクセスできるアプリケーションを制限する、といった使い方によって、重要な情報を置いているサーバーのセキュリティレベルを高めることができます。
(セグメントを分けなくても、特定IPアドレスに対する通信だけをより詳細に、という設定はできますが、サーバーの台数変更の都度、この設定変更を行わなくてはいけなくなるので、セグメント単位で入れておくと管理が少し楽になります)
もうこの次元になると、機器設定も、そうした機器を最大限活用する方法も、専門スキルのある人に頼るべきでしょう。
まとめ
- セグメントは、とくに理由がなければ/24(256単位)の1本で構成するのが手間も少なくわかりやすい。
- セグメント分割を考えるタイミングは大きく4つ。「人が80人近くになる」「ゲストLANを作る」「フロアが複数になる」「FW/UTM等の導入でセキュリティレベルを高める」タイミング。
- セグメント分割を考える必要が出てきたら、ためらわずに業者を頼る。