1. コラム
  2. コラム
  3. 社内ネットワークの基礎知識や設計・構築のコツを初心者向けに解説

社内ネットワークの基礎知識や設計・構築のコツを初心者向けに解説

社内ネットワークについて、基礎から理解を深めたい方もいるのではないでしょうか。社内ネットワークは、オフィス内でデータやファイルをやりとりするプライベートなネットワークです。ただしVPN経由のリモートアクセスやクラウドサービスへのアクセスなどで外部ネットワークと相互アクセスを行うため、完全に閉じられたネットワークではありません。

通信経路などネットワークの基礎を押さえ、セキュリティ対策や業務効率化を踏まえて設計・構築を考えることが大切です。そこでこの記事では、社内ネットワークの基礎知識や構築前の準備、構築の注意点とポイントを解説します。

社内ネットワークとは?基本的な仕組みや種類

社内ネットワークは本社・支社など社内LAN内のプライベートなネットワークを指します。スイッチングハブやLANケーブルによる有線LANと、Wi-Fi機器による無線LANを組み合わせて構築することが一般的です。本社・支社など拠点間をつなぐ広域ネットワークをWANと呼び、VPNサービスなどを活用して社内ネットワークを拡張します。

社内LAN内のプライベートなネットワーク

社内ネットワークとは、社内LAN内で構築されるプライベートなネットワークです。LAN(Local Area Network)とは、オフィス内のサーバ・PC・複合機などを有線または無線で相互接続するネットワークを指します。

社内ネットワークの適切な設計・構築は、スムーズなデータ共有による業務効率化や、セキュリティ強化による情報資産の保護のために重要です。社内ネットワークの最適化は、企業の競争力向上にも寄与します。

有線LANと無線LANを組み合わせる社内ネットワーク

社内LANは有線LANまたは無線LANで構築します。有線LANは、信号の伝送媒体としてLANケーブルや光ファイバーケーブルを用いて、ファイアウォール・ルーター・スイッチングハブなどのネットワーク機器やサーバ・PC・複合機などの情報機器を相互接続するLANです。無線LANは、Wi-Fiなどの無線通信規格を用いて機器を相互接続します。

有線LANは通信の安定性に優れますが、規格の統一や配線の取り回しなどが課題です。無線LANはLANポートのないスマホやタブレットでも接続できる一方、電波干渉や通信傍受など無線通信ならではのリスクがあります。メリット・デメリットを踏まえ、両方を組み合わせて社内ネットワークを構築することが一般的です。

本社・支社など拠点間をつなぐWAN

LANの外側にある広域ネットワークをWAN(Wide Area Network)と呼びます。WANの最も著名な例はインターネットです。本社・支社それぞれの社内LANなど、地理的に離れた複数のLANを結ぶネットワークもWANと呼びます。

拠点間接続の方法としてよく比較されるのが、拠点間に物理的な直結回線を敷設する「専用線」と、公衆網内に仮想的な直結回線(トンネル)を構築する「VPN(Virtual Private Network)」です。社内ネットワークを拡張するVPN環境は自社で構築することもできますが、企業向けWANサービスとして提供されるインターネットVPNやIP-VPNなどを利用することもできます。

社内ネットワークを構築するための準備

自社の環境に合った社内ネットワークを構築し、トラブル発生時に原因究明・対応を迅速に行うために、以下のような準備が必要です。

1.事前調査:現場のニーズやセキュリティ環境、ネットワークの問題点など、自社の現状を調査する
2.ネットワーク設計:ネットワークに接続する機器の種類・台数や拠点数、利用方針などに基づき、なるべくシンプルなシステムを設計する
3.運用管理体制の整備:アカウント管理・情報セキュリティ方針・障害対応のマニュアル化など、ネットワーク構築前に運用管理体制を整えておく

社内ネットワーク構築の注意点とポイント

有線LANの標準的な規格はイーサネット(Ethernet)、無線LANの場合はWi-Fiです。それぞれバージョンによる仕様の違いがあるため、社内ネットワーク内で基準となるバージョンを定めることが求められます。またLAN内機器へのプライベートIPアドレスの割り当て、アクセス制御やセキュリティポリシー策定なども、設計・構築時に必要となる作業です。

イーサネット規格とLANケーブルの対応関係

社内ネットワークの一般的な構成は、ネットワーク境界のルーターからスイッチングハブを経由して、サーバやPCなどを接続するスター型ネットワークです。

通信経路のトラフィック(通信量)に合わせ十分な通信帯域を確保する必要がありますが、ネットワーク機器やLANケーブルが対応するイーサネット規格によって、ノード間の通信速度などが制限されます。主なイーサネット規格とLANケーブルの対応関係は以下の通りです。

・100BASE-TX:最高速度100Mbps、伝送距離は最長100mまで。対応LANケーブルはカテゴリ5以上
・1000BASE-T:最高速度1Gbps、伝送距離は最長100mまで、対応LANケーブルはカテゴリ5e以上
・10GBASE-T:最高速度は10Gbps。伝送距離はLANケーブルがカテゴリ6なら最長55m、カテゴリ6Aや7なら最長100mまで

無線LANでもネットワーク機器同士の接続にはLANケーブルを使うことが多いため、イーサネット規格の対応関係に注意しましょう。

【関連記事:LAN工事の基礎知識!有線無線の違いや工事内容、費用目安や業者選びを解説

無線LAN機器が対応するWi-Fiセキュリティ規格

無線LANの場合、Wi-Fiの親機となる法人向けWi-Fiアクセスポイント(AP)を各所に設置し、ルーターやスイッチングハブとLANケーブルで接続する構成が一般的です。

Wi-Fi通信の認証方法や暗号化強度の安全性は、Wi-Fiセキュリティ規格により異なります。最新のWi-Fiセキュリティ規格は、Wi-Fi6が標準対応する「WPA3」です。より古いWPA2・WPA・WEPには重大な脆弱性(セキュリティ上の欠陥)が知られているため、WPA3対応のAPを導入・設定しましょう。

Wi-Fiネットワークを論理的に分離するVLAN機能、接続デバイスを限定するMACアドレス認証など、複数の機能を組み合わせてWi-Fiセキュリティを高めることもポイントです。

【関連記事:アクセスポイントとは?LANの仕組みや機器の機能も一挙解説
【関連記事:WEPとは?Wi-Fi暗号化の仕組みや脆弱性、改良の歴史を解説

自動または手動のプライベートIPアドレス割り当て

インターネットに接続する全ての機器には、契約中のプロバイダから一意のグローバルIPアドレスが割り当てられます。一方、社内ネットワーク内の機器にはプライベートIPアドレスの割り当てが必要です。

プライベートIPアドレスが同一LAN内で重複すると、正常にネットワーク接続ができなくなることに注意しましょう。小規模な社内LANなら、ルーターのDHCPサーバ機能を利用すると、自動で重複のないプライベートIPアドレスを割り当てられます。

PCやスマホなら自動割り当てでも問題ありません。サーバや複合機などは「自動でプライベートIPアドレスが更新されアクセスできなくなる」という問題が起こり得るため、ルーターのLAN側設定を開くか別途DHCPサーバをセットアップし、手動で固定IPアドレスを設定することが必要です。

アカウント管理・アクセス権限設定・アクセス制限

基本的なネットワークセキュリティ対策として、社内ネットワーク内のアカウント管理やアクセス権限設定、社外ネットワークとのアクセス制限も必須です。

誰がどのサーバやPCにアクセスでき、どの階層のどのファイルにどのような操作を加えられるか、部署・チーム・個人単位のアカウント管理やフォルダ・ファイル単位のアクセス権限設定を行いましょう。一般的にはActive Directory(AD)もしくはクラウド版のADであるMicrosoft Entra IDを活用します。

業務と無関係なWebサービスへのアクセスや外部からの不正アクセスなどのサイバー攻撃を防止するために、ファイアウォールを導入して、ブラックリスト/ホワイトリストの管理やネットワーク監視・ログ収集などを行うことも大切です。

セキュリティポリシーの策定やセキュリティ教育

セキュリティ事故にはマルウェア感染・不正アクセス・アカウント乗っ取り・Webサイトの改ざんなどを挙げられますが、これらは従業員の不注意やITリテラシー不足による情報漏えいなどが引き起こすこともよくあります。

セキュリティポリシーの策定やセキュリティ教育の実施により従業員のITリテラシー・セキュリティ意識を高めつつ、従業員が企業の管理外のIT資産を無断使用する「シャドーIT」を防止することが大切です。以下のようなルールを策定し、周知しましょう。

・業務利用できるデバイスやアプリ
・持ち出しできるデバイスや情報の範囲と方法
・インストール許可を得るための承認フロー
・ログイン情報を共有できるデバイス・ユーザーの範囲
・メール内のリンク・添付ファイルの扱い方
・ランサムウェアなどマルウェア感染時の対応方針

制約が厳し過ぎると業務効率を下げる恐れもあるため、あえてBYOD(私物端末の業務利用)を認めるなど柔軟な対応も求められます。

【関連記事:情報漏えい対策14選!基本ルールからシステム管理方法まで徹底解説

社内ネットワークのセキュリティ強化に活用したい技術

社内ネットワークはインターネット回線などを通じて外部ネットワークと相互アクセスを行います。社外公開用サーバの安全性を高めるには、「DMZ」内に設置することがポイントです。VPNは拠点間接続などに重宝される技術ですが、VPN装置の脆弱性を放置しないことが求められます。また、高セキュアなクラウドサービスによるネットワーク運用の効率化も重要な観点です。

社外公開用サーバを「DMZ」内に設置する

Webサーバなど社外公開用サーバを運用する場合、社内外ネットワークの中間に設けたDMZ(DeMilitarized Zone/非武装地帯)内に設置することがおすすめです。

社内ネットワークの内側に社外公開用サーバを設置した場合、サーバの乗っ取りやランサムウェア感染などのサイバー攻撃を受けると、社内LANに接続した全ての機器に被害が拡大する恐れもあります。

社外ネットワーク・DMZの境界とDMZ・社内ネットワークの境界それぞれにファイアウォールを設置すると、「DMZ内の機器には社内外ネットワークからアクセスできるが、DMZ内から社内ネットワークへアクセスできない」という設定が可能です。これによりDMZ内のサーバを踏み台としたサイバー攻撃から社内ネットワークを防衛できます。

VPNは脆弱性を放置しないように運用する

本社・支社などの拠点間接続や社内ネットワークへのリモートアクセスには、専用線より安価なVPNサービスを利用することが一般的です。VPN接続にはセキュリティ対策の効果もありますが、インターネットVPNは接続経路にインターネットを含むためネットワーク盗聴などのリスクを排除できず、より高セキュアなIP-VPNは相応のコストがかかります。

いずれの場合でも社内ネットワークにVPN装置を設置することが必要です。VPNは「導入すれば安全」と考えられがちですが、IPA(情報処理推進機構)はVPN装置の脆弱性を悪用したネットワーク貫通型攻撃に警鐘を鳴らしています。VPN装置がハッキングされると長期的な情報窃取やランサムウェア攻撃などの被害に遭うため、過信は禁物です。

クラウド活用でネットワーク運用を効率化する

クラウドコンピューティングを活用し、社内ネットワークの運用を効率化する企業も一般化しています。

例えばファイルサーバを社内ネットワークに設置する場合、リモートアクセスにも対応しようとすると、トラフィックの増大や不正アクセスなどセキュリティリスクへの対応が課題です。

共有が必要なファイルを社内ネットワークに保存せず、セキュリティ対策に投資を惜しまないクラウドベンダーのサーバに保存することで、運用負荷を抑えてサイバーセキュリティを向上できます。テレワーク環境とも相性がよく、社内ネットワークへのトラフィック集中を避けられることもポイントです。

ただしセキュリティ機能はサービスによって異なります。オンプレミス環境のセキュリティレベルを堅持または向上できるサービスを選びましょう。

【関連記事:クラウド移行へ踏み切る前に!基礎知識から注意点までを徹底解説

社内ネットワークのセキュリティ強化と運用効率化の両立ならイッツコム!

イッツコムはVPNアプリ不要で安全なリモートアクセスができる「モバイル閉域接続」、ファイルサーバのクラウド化に最適な容量無制限のコンテンツクラウド「Box」を提供しており、社内ネットワークのセキュリティ強化と運用効率化をサポートできます。

VPNアプリ不要で安全なリモートアクセスができる「モバイル閉域接続」

社内ネットワークへのリモートアクセスにVPN接続を利用する場合、ネットワーク盗聴やVPNハッキングなどのセキュリティリスクがあります。セキュリティレベルを高めようとするとネットワーク構成が複雑になりがちです。

イッツコムの「モバイル閉域接続」なら、SIMカードで経路判別をするシンプルなシステムで、インターネットを経由しない安全なリモートアクセスができます。登録したデバイス以外のアクセスを遮断し、不正アクセスのリスクを低減できるのもポイントです。従業員はVPNアプリの設定不要で簡単に接続でき、管理者は利用者のID・パスワード管理が必要ありません。

社外からのインターネット検索やWebサービス利用時などにも社内LANを経由するため、ログ収集や社内セキュリティポリシーの保持にも役立ちます。

容量無制限のコンテンツクラウド「Box」で安全なファイル共有

ファイルサーバのクラウド化に取り組む企業は多いものの、選択するクラウドサービスによってはオンプレミス環境よりセキュリティレベルが低下する場合もあります。

ビジネスユースに特化したコンテンツクラウド「Box」は、容量無制限のクラウドストレージであらゆるファイルの安全な一元管理が可能です。

7段階のアクセス権限設定や最大7年前までさかのぼれる詳細なログ監査など、世界最高峰のセキュリティ機能を備え、各国の政府機関をはじめ多数のリーダー企業も採用するほどの圧倒的な信頼性を誇ります。

非常に多機能・高性能でありながら特別なトレーニングなしで利用でき、パートナー企業など社外ユーザーともスムーズにファイル共有ができることもポイントです。

まとめ

社内ネットワークを設計・構築する際には、イーサネット規格に注意して機器を相互接続し通信帯域を確保することや、アカウントやアクセスの制御などによりネットワークセキュリティを維持・向上することが重要です。社外公開用サーバはDMZ内に設置し、VPN装置の脆弱性やファイルサーバの運用負荷などの対策も行いましょう。

イッツコムは「モバイル閉域接続」や「Box」により、安全なリモートアクセスやファイル共有をサポートできます。より安全で効率的な社内ネットワークの設計・構築をお考えなら、閉域網接続やファイルサーバのクラウド化にも対応できるイッツコムにご相談ください。