• ベストアンサー
※ ChatGPTを利用し、要約された質問です(原文:SOHOでのセキュアなネットワーク構成を知りたい)

SOHOでのセキュアなネットワーク構築方法

このQ&Aのポイント
  • SOHOでの安全なネットワーク構成方法について紹介します。お客様情報を取り扱うネットワークと一般的なインターネット接続ネットワークを分けて構成し、ファイルの共有やプリンタの共有を実現します。
  • お客様情報を取り扱うネットワークと一般的なインターネット接続ネットワークを分けるため、セキュリティ面の心配を軽減します。ネットワーク間でのファイル共有には、セキュアな方法を使用し、プリンタの共有にも適切な設定を行います。
  • Windowsを使用している場合、共有フォルダやアクセス許可設定、共有プリンタの設定などの基本的な知識を活用することで、ファイルとプリンタの共有が可能です。インターネットから分断された安全なネットワークを構築し、情報漏洩やセキュリティリスクを最小限に抑えましょう。

質問者が選んだベストアンサー

  • ベストアンサー
  • anmochi
  • ベストアンサー率65% (1332/2045)
回答No.3

うーん。まずは何を以ってセキュアとするか、だね。 元Aのパソコンと元Bのパソコンはお互いに通信できて、元Aのパソコンはインターネットにはつながらない、という程度で良いなら、元Aのパソコンたちの「デフォルトゲートウェイ」を空っぽにするだけで実現できる。 それよりも一歩進んだ構成を考えるなら、 ・Aのパソコン群とBのパソコン群とデータベースサーバーとファイルサーバーとプリンターがある ・Aのパソコン群はデータベースサーバー・ファイルサーバー・プリンターと通信でき、インターネット・Bのパソコン群と通信できない ・Bのパソコン群はファイルサーバー・プリンター・インターネットと通信でき、データベースサーバー・Aのパソコン群と通信できない ・データベースサーバーはAのパソコン群と通信でき、ファイルサーバー・プリンター・インターネット・Bのパソコン群と通信できない というのはどうだろう。 [インターネット] | ルーター(インターネット用) 192.168.1.254 | +-192.168.1.201 ファイルサーバー | +-192.168.1.202 プリンター | +-192.168.1.220 ルーターB 192.168.2.254 - 192.168.2.xxx Bのパソコン群 | 192.168.1.221 ルーターA 192.168.3.254 | +-192.168.3.200 データベースサーバー(デフォゲなし) | +-192.168.3.xxx Aのパソコン群 ルーターAとルーターBは5000円程度の安物ブロードバンドルーターでかまわない。 もちろん、AとBを分ける方法はこれ以外にもいくつかあるけど、これはとても分かりやすい構成なので紹介してみた。 ルーターBを導入する理由は、Bのパソコン群を192.168.1.*に入れると、Aのパソコン群からちょっかいをかけやすくなるからだ。ルーターAで、 ・192.168.2.0/24→192.168.1.254は許可 ・192.168.2.0/24→192.168.1.201は許可 ・192.168.2.0/24→192.168.1.202は許可 ・192.168.2.0/24→それ以外は不許可 というような設定をしてもいいんだけど、物理的に線を分岐させる方が後で見て分かりやすいよね。 ただし、データベースサーバーやAのパソコン群はWindows Updateは適用できる状態にしておいた方がいいと思う。また、ウィルス対策ソフトを入れているならそれの更新も即座にできるようにしておく方がいいと思うな。 なので、Aのパソコン群やデータベースサーバーもインターネットへ接続できるようにはしておいて、普段インターネットするのはBでやれよというルールにするのがいいんじゃないかな。 インターネット以外の方法でWindows Updateとウィルス定義更新ができるならそれがベストだと思うけどね。

ferc
質問者

お礼

返答が遅くなりまことに申し訳ありません。 詳細な解説ありがとうございます。 私のネットワークに関する詳細な知識が乏しく、 きちんと理解するのにいろいろ調べていたため返答が遅くなりました。 >ただし、データベースサーバーやAのパソコン群はWindows Updateは適用できる状態にしておいた方がいいと思う。 質問文には記載していませんでしたが、 おっしゃるとおりのことも実現できればいいと思っていたため、ご提案は大変に参考になりました。 >もちろん、AとBを分ける方法はこれ以外にもいくつかあるけど、これはとても分かりやすい構成なので紹介してみた。 いろいろ調べている中で、紹介されていた情報があったのですが、 NICを2枚差ししたPCを用意して、それぞれAとBのネットワークを設定する方法が紹介されていました。 自分自身がルーティング設定に自信がないのもありますし、 その構成ならば、外付けHDDをPCに接続すれば拡張性も増すかと思いました。 もし、ご面倒でなければお教えいただければご意見をうかがえれば幸いです。

その他の回答 (5)

  • anmochi
  • ベストアンサー率65% (1332/2045)
回答No.6

> NICを2枚差ししたPCを用意して、それぞれAとBのネットワークを設定する方法が紹介されていました。 > 自分自身がルーティング設定に自信がないのもありますし、 > その構成ならば、外付けHDDをPCに接続すれば拡張性も増すかと思いました。 よほどコンピュータやネットワークに自信があるなら話は別だが、これははっきりとお勧めできない。 ・ネットワーク関係は専用機器に任せた方がトラブルが少ない。あるいはトラブル時の対応が速い。 ・ルーティング設定に関してだけ言えばBBルータ2台よりもNIC複数挿しのPCの方が遥かに難しい。 ・普通のPCは消費電力がネットワーク専用機器よりも大きい。 ・普通のPCは24時間電源入れっぱに耐えられるように設計されていない(帰宅時に落として帰るなら別にいい)。 ・普通のPCを根幹ルーターにすると、途中で普通のPCとして使う誘惑に耐えられない。  →ルーターでありながら普通の作業にも使われ、普通の作業が原因でPCがフリーズ。  →オフィス全体が大混乱。  となるに決まっとる(決め付け)。 ・普通のPCにNIC複数挿して何とかしようとするよりも  BBルーター2台とホーム用NAS1台の方が安い(オフィス用NASは超高い)。 と、BBルーター2台+NAS構成と比較したら複数NIC-PCの方に軍配が上がるのは せいぜいコンセントの数を節約できる(3口と1口)くらいだ。

ferc
質問者

お礼

複数回に渡りご丁寧にご回答いただき本当にありがとうございます。 ご回答のとおりだと大変納得しました。 どのご指摘も納得できるものでしたが、 >・普通のPCを根幹ルーターにすると、途中で普通のPCとして使う誘惑に耐えられない。 は本当に「確かにっ!」と思いました。 何度も解説いただき大変勉強になりました。 これから、ルーター設定や教えていただいたネットワーク構成をもとに調査してみます。 ルーティングはやったことがないので、まずは勉強しながら試行錯誤してみます。 自分の無知でご迷惑おかけしたことと思います。 ありがとうございました。

  • NNori
  • ベストアンサー率22% (377/1669)
回答No.5

まぁ普通は、DMZを作るのだ。というか標準技術だね。 大概の会社はこうしてるし、これ以上は考えてもしかたがない。 多段にしたところで、理論的にはいつかはやられるしぃ こんな感じですね。 ファイヤウォールを2つ使って 外部-FW-DMZ-FW-内部NW とする。 外部からはDMZ内のPCのみアクセス可能 内部NWはDMZ内のPCからのみアクセス可能 というように各FWを設定する。 DMZ(DeMilitarized Zone)非武装地帯 ぐぐってちょうだい。

ferc
質問者

お礼

ご回答ありがとうございます。 返答が遅くなり申し訳ありません。 ご指摘のとおり、危険性を完全に排除することはできないのですね。 コスト面・手間などを考慮して、 折衷というか妥協というか、程よいところで設定するものだと理解しました。 DMZについては、応用情報技術者の試験を取得する際に勉強はしていたので、 言葉としては知っていましたが、実務としては関わったことがないので、 今回の機会にいろいろ調べまして、大変勉強になりました。

  • bunjii
  • ベストアンサー率43% (3589/8249)
回答No.4

>質問内容に記載しましたが、データベースサーバはインターネットにアクセスできないようにしたいのです。 サーバーの操作は管理者のみにするのが一般的な管理方法であり、インターネットへのアクセスは有り得ません。 極論すればキーボード、マウス、モニターを接続しないラックマウントのハードウェアで鍵付きの部屋へ設置するケースも有ります。 また、ネットワークの設定でデフォルトゲートウェイを空欄にすればセグメント外へのアクセスが遮断できます。 更にルーターでアクセス制限の設定をすれば良いでしょう。 >私が知りたいのは、外部からの攻撃に対する対処です。 外部からデーターベースサーバーへ接続して悪戯をすることはルーターの設定だけで防げます。 しかし、LAN内のPCから他人の公開サーバーにアクセスしたとき目的のコンテンツに未知の不正なプログラムが混在していたときはPCへ取り込まれます。(未知のものは非常に少ないが皆無ではない) また、社員宛のメールに不正なプログラムが混在していることもあるでしょう。 従って、インターネットへ接続するPCと業務システムのPCは完全に分離したネットワークで運用すべきものです。 経費節減や使い勝手の利便性を優先すると落とし穴に落ちる結果になるのです。 大企業や政府機関のサーバーがコンテンツの改竄されるケースは公開サーバー(Webサーバー等)に代替コンテンツを上書きしていると思われます。 また、メールサーバーへ大量の不正メールを送り付けて正規のアクセスを妨害するケースも有ります。 中小企業や零細企業の特に目立たない会社については直接の攻撃は考え難いでしょう。

  • bunjii
  • ベストアンサー率43% (3589/8249)
回答No.2

>外部と接点を持つことで危険性が発生するため、どうしたら、より安全なネットワークが構築できるかをお聞きしたいのです。 ハードウェア、ソフトウェアで対応できる範囲ではセキュリテイ確保に限界があります。 最大の効果を得られるのは社員の危機管理に対する理解と情報の秘匿性の認識です。 多くの情報流出は秘匿性の認識が甘いために起っているようです。 データーベースサーバーへアクセスできる端末でインターネットへも接続すること自体が既にセキュリティに問題が生じています。 特に顧客情報は名簿業者に売り渡しが横行していますので不正プログラムの侵入を食い止めるだけでは流出を防止できません。 社員のモラルが最大の防御手段であることを認識してください。

ferc
質問者

お礼

ご回答ありがとうございます。 >データーベースサーバーへアクセスできる端末でインターネットへも接続すること自体が既にセキュリティに問題が生じています。 質問内容に記載しましたが、データベースサーバはインターネットにアクセスできないようにしたいのです。 >社員のモラルが最大の防御手段であることを認識してください。 それは確保した上での質問です。 ご回答いただいたとおり、どれだけセキュリティを強化しても、 情報の流出はユーザーのモラルが低ければ防げません。 私が知りたいのは、外部からの攻撃に対する対処です。

  • bunjii
  • ベストアンサー率43% (3589/8249)
回答No.1

>どのように構成・設定すれば、ファイル・プリンタを共有しつつ、安全なネットワーク構築が可能でしょうか? そのようなネットワーク構成はありません。 インターネットへアクセスできるPCがファイル共有に参加すること自体がセキュリティ面で脅威になります。 「現在は、AとBの間でのファイルの移動はUSBメモリなどを使用していますが」と言う運用でも安全とは言えません。

ferc
質問者

お礼

ご回答ありがとうございます。 >インターネットへアクセスできるPCがファイル共有に参加すること自体がセキュリティ面で脅威になります。 ご指摘の通りのことは理解しています。 >「現在は、AとBの間でのファイルの移動はUSBメモリなどを使用していますが」と言う運用でも安全とは言えません。 そのことも理解しています。 autorunを介したウィルスなどがあることも分かっています。 そもそも、社内に限定した話ではなく、USBでファイルをやり取りすること自体の危険性は分かっています。 外部と接点を持つことで危険性が発生するため、どうしたら、より安全なネットワークが構築できるかをお聞きしたいのです。

関連するQ&A

専門家に質問してみよう