VLANとネットワークセグメンテーションの基礎|中小企業の社内ネットワーク分離ガイド
「社内ネットワークはフラットな1セグメントで全端末がつながっている」――中小企業ではこのような構成が珍しくありません。しかし、フラットネットワークはセキュリティリスクが高く、1台の端末がマルウェアに感染すると全社に被害が拡大する恐れがあります。
この問題を解決する基本技術がVLAN(Virtual LAN)です。本記事では、VLANを使ったネットワークセグメンテーションの基礎から、中小企業向けの推奨設計例、設定の流れまでを解説します。
VLANとは何か
VLANは、物理的には1つのネットワークスイッチに接続されている端末を、論理的に複数のネットワークに分割する技術です。たとえば、同じフロアにいる営業部と経理部のPCを、物理的なケーブル配線を変えることなく別々のネットワークに所属させることができます。
VLAN内の端末同士は通常どおり通信できますが、異なるVLAN間の通信はルーティング(L3処理)を経由する必要があります。このルーティングの段階でアクセス制御リスト(ACL)を適用することで、「経理部のサーバーには営業部からアクセスできない」といった制御が可能になります。
なぜネットワーク分離が必要なのか
ネットワークセグメンテーションが求められる理由は主に3つあります。
セキュリティの強化:フラットネットワークでは、ランサムウェアが1台に侵入すると同一セグメント内の全端末にラテラルムーブメント(横展開)が可能です。VLANで分離すれば、被害を限定的に封じ込められます。
ブロードキャストドメインの抑制:端末数が増えると、ブロードキャストトラフィック(ARP要求など)がネットワーク全体に流れ、帯域を圧迫します。VLANで分割することで、ブロードキャストの影響範囲を限定できます。
コンプライアンス対応:サプライチェーンセキュリティ評価(SCS)やISMS、PCI DSSなどの基準では、ネットワークセグメンテーションが推奨または要求されています。取引先からの監査でVLAN分離の有無を問われるケースも増えています。
L2スイッチとL3スイッチの違い
VLANを導入する際に理解しておくべきなのが、L2スイッチとL3スイッチの違いです。
L2スイッチ(レイヤー2スイッチ) は、MACアドレスに基づいてフレームを転送します。VLANの作成とポートの割り当てはできますが、VLAN間のルーティングはできません。VLAN間通信が必要な場合は、別途ルーターやL3スイッチが必要です。
L3スイッチ(レイヤー3スイッチ) は、L2スイッチの機能に加えて、IPアドレスに基づくルーティング機能を持ちます。VLAN間のルーティングをスイッチ内部で高速に処理でき、ACLによるアクセス制御も可能です。中小企業のコアスイッチとしてはL3スイッチの導入を推奨します。
中小企業の推奨VLAN設計例
50〜100名規模の中小企業を想定した、5つのVLAN構成例を紹介します。
| VLAN ID | 名称 | 用途 | サブネット例 |
|---|---|---|---|
| VLAN 10 | Business | 社員の業務用PC | 192.168.10.0/24 |
| VLAN 20 | Guest | 来客・ゲストWi-Fi | 192.168.20.0/24 |
| VLAN 30 | Server | サーバー・NAS | 192.168.30.0/24 |
| VLAN 40 | IoT | 複合機・IP電話・監視カメラ | 192.168.40.0/24 |
| VLAN 99 | Management | スイッチ・AP管理用 | 192.168.99.0/24 |
ゲストVLANはインターネットへの通信のみ許可し、社内リソースへのアクセスは一切遮断します。IoT VLANも同様に、必要最小限の通信のみ許可することで、IoTデバイスの脆弱性を突いた攻撃の横展開を防ぎます。
VLAN設定の流れ
VLANの導入は以下のステップで進めます。
ステップ1:VLANの作成。L3スイッチの管理画面またはCLIで、上記のVLAN ID・名前・サブネットを定義します。各VLANにSVI(Switch Virtual Interface)を設定し、デフォルトゲートウェイとして機能させます。
ステップ2:ポートの割り当て。各スイッチポートを、接続する端末の種別に応じてアクセスポート(1つのVLANに所属)として設定します。スイッチ間を接続するアップリンクポートは、複数のVLANを通すトランクポート(802.1Qタグ付き)に設定します。
ステップ3:VLAN間ルーティングの設定。L3スイッチでインターVLANルーティングを有効化し、VLAN間で通信できるようにします。この段階では全VLAN間が通信可能な状態です。
ステップ4:ACL(アクセス制御リスト)の適用。VLAN間の不要な通信を遮断するACLを設定します。たとえば「ゲストVLANから業務VLANへの通信を拒否」「IoT VLANからサーバーVLANへの通信を拒否」などのルールを定義します。
ステップ5:DHCPの設定。各VLANに対応するDHCPスコープを設定し、端末に自動でIPアドレスを配布します。DHCPサーバーが別VLANにある場合は、DHCPリレーエージェントの設定が必要です。
よくある設計ミスと注意点
VLANの導入で陥りやすいミスを挙げます。
ACLの設定漏れ:VLANを作っただけで安心し、ACLを設定しないケースがあります。ACLなしでは全VLAN間が自由に通信できるため、セグメンテーションの効果がありません。
管理VLANの露出:管理VLAN(スイッチやAPの管理インターフェース)が業務VLANからアクセス可能な状態は、攻撃者にネットワーク機器の制御を奪われるリスクがあります。管理VLANへのアクセスは特定の管理端末のみに限定してください。
タグVLANとアクセスVLANの混同:トランクポートとアクセスポートの設定を間違えると、VLANをまたいだ通信が意図せず発生するか、通信が一切できなくなります。設定後は必ずテストを実施しましょう。
Native VLANの未変更:トランクポートのNative VLAN(タグなしフレームが所属するVLAN)がデフォルトのVLAN 1のまま放置されていると、VLAN hopping攻撃のリスクがあります。
ゼロトラストとの関係
VLANによるネットワークセグメンテーションは、ゼロトラストアーキテクチャの重要な構成要素です。ただし、VLANだけではゼロトラストの実現には不十分です。VLAN内部では端末同士が自由に通信できるため、マイクロセグメンテーション(端末単位の制御)やID認証ベースのアクセス制御と組み合わせることで、より強固なセキュリティを実現できます。
FortiGateなどのUTMと連携すれば、VLAN間の通信にIPS(侵入防止システム)やアプリケーション制御を適用することも可能です。
VLANの設計・構築は、自社ネットワークの現状把握から始まります。「どこから手をつければいいかわからない」という場合は、ネットワーク構成の棚卸しから支援する情シス365にご相談ください。