ネットワークを分けることとセキュアであることは、仰る通り決してイコールではないと思います。デメリットを考えると、セグメントが増える分、機器の設定が煩雑になる事自体がセキュアではない(設定のミスに気付きにくいなど)とも言えます。
ただし、「特定の部署(セグメントA)から別の部署(セグメントB)へのアクセスを制限したい」などの需要が今後あるかもしれないのであれば、ネットワークを分けていおくことは有効だと思います。つまり、今は良いかもしれませんが、今後のニーズに備えることもセキュリティを高める事前の対策になりえるとも言えますよね。
別にセグメントをわけなくてもフィルタリングなどは出来るのではないか?とも考えられますが、そこから先は費用対効果というか、予算に対してどんな手を打つのか、打てるのかの話になって来るのだと思います。
192.168.xx.xxxということはプライベートアドレスですから 172.xx.xxx.xxxにすればIPアドレスの幅は増えますって。
+>部署ごとに分けるのは「セキュリティが高まりますよ」という提案をSIerさんから頂いた
ってぇ。 ずいぶん乱暴なSIerじゃないですかい。 だいいち、部署ごとにセグメントを分けたら情報共有がやりにくぅざんす。ほかの会社が同じ建物に居てVLANで分けるのとは訳がちがいまさぁ。 セキュリティってのはちゃんとわかってきちっとやんないと。全然、効かないどころか不便でしかたねえってもんです。
まずはプライベートアドレスの枠を広げなすって運用したらどうなんですかい。セキュリティの話は本当にその必要が出てきてからでも遅くはねってことです。
ネットワークを分けてもセキュリティには関係ないと思います。完全に分離するなら分かりますが、結局L3スイッチでルーティングするんだから、異なるセグメントで通信はできますもんね。
ネットワークを分けることでアクセス制限などをネットワーク単位でかけやすくなるとは思いますけど、そういう要件てどんだけあるんですかね?って感じです。
正直、細かくわけてもあんまりメリットないと思います。部署部屋ごとでわけたとして、一部屋一部署が未来永劫変わらないならいいですが、レイアウト変更などで一部屋他部署のところがでてきたら、面倒なことになりそう。
ちなみにうちは建屋ごとでわけてます。
教科書通りにネットワークを設計するなら、部署ごと(情報を分断するべき単位)にセグメントを分けるというのは正しいかと思います。そして、分けただけではセキュリティに大きく寄与しないというのも間違っていないと思います。
ネットワーク構成を見直すというのは大仕事です。なので、どうせやるのであれば将来に備えて真面目にネットワークを構築した方が後々のために良いという提案なのではないでしょうか?例えば、部署Aと部署Bの間を完全に分断したいとなった場合、今回対応しておけばパソコン側の設定変更なしで行けるでしょうし。
あえてセキュリティに関係するとしたら、パソコンがウィルスに感染、ネットワークを探索して攻撃対象を探した時に、感染したパソコンが存在するセグメントに影響を抑え込める可能性が少しだけ存在します。最も、あえて言うならってレベルで、ほぼ意味のない話です。
サーバーとパソコンでセグメントを分けるのは常道として、あとは会社がどの単位で情報のやり取りを制限しているのかっていうのが、セグメントを分ける時の考え方ではないでしょうか。
+>サーバーやらPCやらいろいろな機器が増え、空きIPが少なくなった
192.168.XXX.XXXでも65000台を割り当てできますが そんなに台数が増えたのでしょうか?
前にも言ったように172.16.0.0 – 172.31.255.255にすれば100万台もできます
その「部署」というのは”1つのビルに全部いるがフロア(階)が分かれている”のか”全国にばらばらと分かれていてWANでつないでいる”のかどうなのでしょう ”全国にばらばら”でインターネットvpnでつないでいるならセグメントで分けてもありですがそれなら もうルータもあるように思います
なんだか ここできいただけのことからすると 「どないだす 各部署・各フロアを全部L3スイッチで分離すればセキュリティが高くないマスのや もっとも お値段もちょっと気張ってもらわな あきまへんけど 」って業者の口車に乗せられているように感じるのですが...
>>desatoさん
物理的に離れたところに80拠点有り、VPNで繋がっています。これらは別ネットワークになっています。
今回お尋ねしたネットワークは本社にあり、1つの建屋の1フロアにあります。192.168.XXX.XXXにすることはSIerさんから提案があり、サーバーのIP部分に触れるのが怖くて、私が別法を要求しました。そうしたらdesatoさんがご推察の通り、「この際どーんとやっちゃいましょう」に近い提案になってきて、慌ててしまった、という恥ずかしい状態です。
>>皆様へ
多くのコメントをありがとうございます。
ネットワークを分けるだけでは、ほとんどセキュリティの向上には繋げられない、という点でほぼ一致しています。やはりそうかと、意を強くしました。
現在、サーバーやPCが同じネットワークにあります。過去に、サーバーと同じIPが振られたPCが勝手に接続されて大騒ぎしたことがあるので、セキュリティ向上には繋がらないまでも、せめてこの棲み分けは実現したいと思います。
SIerさんもお金を稼ぎたいだけではないと思うので、将来的な見通しを含め、こちらの要望をきちんと伝えて、良い形に持って行きたいと思います。
技術的なことをいろんな角度でご指摘いただけたことは、職場ではあり得ないことです。皆様のご意見にとても感謝しています。
お役に立ちましたか?他にもたくさんの ノウハウが共有されています。
ネットワークについて、どうしても分からないことがあります。
現在、192.168.10.0/24のネットワークにいろいろな機器が繋がっています。全て固定IPで運用しており、DHCPは動いていません。
サーバーやらPCやらいろいろな機器が増え、空きIPが少なくなったので、L3スイッチを導入し、ネットワークを分けるになりました。どうせ分けるなら部署部屋ごとに分けようという流れになっています。部署ごとに分けるのは「セキュリティが高まりますよ」という提案をSIerさんから頂いたからです。L3スイッチはVLANを切ってルーティングをするのみで、フィルタリングは一切行いません。
ネットワークを分けてセキュリティを高める、というのは他のSIerさんからも良く耳にした事で、ネットを調べても「ネットワークを分ける=セキュリティ担保」というニュアンスの記事が散見されます。しかし、フィルタを掛けたりファイアウォールの類いを施したりするなら分かるのですが、ネットワークを分けるだけではセキュリティに関係ないんじゃないだろうかと、もやもやしています。
ネットワークを分けること自体で享受できるセキュリティ上のメリットは、通信内容を横取りされ易い範囲の限定、IP競合の影響範囲の限定、ループの影響範囲の限定、ということだと思っています。それ以外のメリットがあるのでしょうか。
腑に落ちる理屈に出会えずお尋ねする次第です。お知恵をお貸し下さい。