SOHOでのセキュアなネットワーク構成を知りたい

現在、２つのネットワークがSOHO内にあります。

ひとつは、お客様情報などを取り扱うネットワークで、
データベースサーバ１台と複数台のクライアントPCがぶら下がっています。
機密事項もあるので、これはインターネットにはつなげておらず、ローカルなネットワークです。
これをネットワークAとします。

もうひとつは、一般家庭と同じように普通にインターネットにつないでいるネットワークです。
こちらもPCは複数台あります。
これをネットワークBとします。

現在は、AとBの間でのファイルの移動はUSBメモリなどを使用していますが、
ファイルの分散なども発生するので、AとBで共有させたいです。
ついでに、プリンタも共有させたいのです。
すべてを同一ネットワークにすれば、共有できることは分かりますが、
Aについては、インターネットに接続する必要はなく、
むしろ、つながることで、セキュリティ面が心配ですので、外部とは分断されていたほうが望ましいです。

どのように構成・設定すれば、ファイル・プリンタを共有しつつ、安全なネットワーク構築が可能でしょうか？
何か情報となるサイトの紹介でも構いません。

PCはすべてWindows系です。
簡単な知識はあるつもりです。
（共有フォルダの作り方、アクセス許可設定、共有プリンタの設定など）

No.3 ベストアンサー 回答者： anmochi 回答日時： 2014/06/08 00:11

うーん。

まずは何を以ってセキュアとするか、だね。

元Aのパソコンと元Bのパソコンはお互いに通信できて、元Aのパソコンはインターネットにはつながらない、という程度で良いなら、元Aのパソコンたちの「デフォルトゲートウェイ」を空っぽにするだけで実現できる。

それよりも一歩進んだ構成を考えるなら、
・Aのパソコン群とBのパソコン群とデータベースサーバーとファイルサーバーとプリンターがある
・Aのパソコン群はデータベースサーバー・ファイルサーバー・プリンターと通信でき、インターネット・Bのパソコン群と通信できない
・Bのパソコン群はファイルサーバー・プリンター・インターネットと通信でき、データベースサーバー・Aのパソコン群と通信できない
・データベースサーバーはAのパソコン群と通信でき、ファイルサーバー・プリンター・インターネット・Bのパソコン群と通信できない
というのはどうだろう。

[インターネット]
｜
ルーター（インターネット用）
192.168.1.254
｜
＋－192.168.1.201　ファイルサーバー
｜
＋－192.168.1.202　プリンター
｜
＋－192.168.1.220　ルーターB　192.168.2.254　－　192.168.2.xxx　Bのパソコン群
｜
192.168.1.221
ルーターA
192.168.3.254
｜
＋－192.168.3.200　データベースサーバー（デフォゲなし）
｜
＋－192.168.3.xxx　Aのパソコン群

ルーターAとルーターBは5000円程度の安物ブロードバンドルーターでかまわない。
もちろん、AとBを分ける方法はこれ以外にもいくつかあるけど、これはとても分かりやすい構成なので紹介してみた。
ルーターBを導入する理由は、Bのパソコン群を192.168.1.*に入れると、Aのパソコン群からちょっかいをかけやすくなるからだ。ルーターAで、
・192.168.2.0/24→192.168.1.254は許可
・192.168.2.0/24→192.168.1.201は許可
・192.168.2.0/24→192.168.1.202は許可
・192.168.2.0/24→それ以外は不許可
というような設定をしてもいいんだけど、物理的に線を分岐させる方が後で見て分かりやすいよね。

ただし、データベースサーバーやAのパソコン群はWindows Updateは適用できる状態にしておいた方がいいと思う。また、ウィルス対策ソフトを入れているならそれの更新も即座にできるようにしておく方がいいと思うな。
なので、Aのパソコン群やデータベースサーバーもインターネットへ接続できるようにはしておいて、普段インターネットするのはBでやれよというルールにするのがいいんじゃないかな。
インターネット以外の方法でWindows Updateとウィルス定義更新ができるならそれがベストだと思うけどね。

この回答へのお礼

返答が遅くなりまことに申し訳ありません。
詳細な解説ありがとうございます。

私のネットワークに関する詳細な知識が乏しく、
きちんと理解するのにいろいろ調べていたため返答が遅くなりました。

＞ただし、データベースサーバーやAのパソコン群はWindows Updateは適用できる状態にしておいた方がいいと思う。

質問文には記載していませんでしたが、
おっしゃるとおりのことも実現できればいいと思っていたため、ご提案は大変に参考になりました。

＞もちろん、AとBを分ける方法はこれ以外にもいくつかあるけど、これはとても分かりやすい構成なので紹介してみた。

いろいろ調べている中で、紹介されていた情報があったのですが、
NICを２枚差ししたPCを用意して、それぞれAとBのネットワークを設定する方法が紹介されていました。
自分自身がルーティング設定に自信がないのもありますし、
その構成ならば、外付けHDDをPCに接続すれば拡張性も増すかと思いました。

もし、ご面倒でなければお教えいただければご意見をうかがえれば幸いです。

お礼日時：2014/06/11 22:12

No.6 回答者： anmochi 回答日時： 2014/06/11 23:07

> NICを２枚差ししたPCを用意して、それぞれAとBのネットワークを設定する方法が紹介されていました。

> 自分自身がルーティング設定に自信がないのもありますし、
> その構成ならば、外付けHDDをPCに接続すれば拡張性も増すかと思いました。
よほどコンピュータやネットワークに自信があるなら話は別だが、これははっきりとお勧めできない。
・ネットワーク関係は専用機器に任せた方がトラブルが少ない。あるいはトラブル時の対応が速い。
・ルーティング設定に関してだけ言えばBBルータ2台よりもNIC複数挿しのPCの方が遥かに難しい。
・普通のPCは消費電力がネットワーク専用機器よりも大きい。
・普通のPCは24時間電源入れっぱに耐えられるように設計されていない（帰宅時に落として帰るなら別にいい）。
・普通のPCを根幹ルーターにすると、途中で普通のPCとして使う誘惑に耐えられない。
　→ルーターでありながら普通の作業にも使われ、普通の作業が原因でPCがフリーズ。
　→オフィス全体が大混乱。
　となるに決まっとる（決め付け）。
・普通のPCにNIC複数挿して何とかしようとするよりも
　BBルーター2台とホーム用NAS1台の方が安い（オフィス用NASは超高い）。

と、BBルーター2台＋NAS構成と比較したら複数NIC-PCの方に軍配が上がるのは
せいぜいコンセントの数を節約できる（3口と1口）くらいだ。

この回答へのお礼

複数回に渡りご丁寧にご回答いただき本当にありがとうございます。

ご回答のとおりだと大変納得しました。
どのご指摘も納得できるものでしたが、
＞・普通のPCを根幹ルーターにすると、途中で普通のPCとして使う誘惑に耐えられない。
は本当に「確かにっ！」と思いました。

何度も解説いただき大変勉強になりました。
これから、ルーター設定や教えていただいたネットワーク構成をもとに調査してみます。
ルーティングはやったことがないので、まずは勉強しながら試行錯誤してみます。

自分の無知でご迷惑おかけしたことと思います。
ありがとうございました。

お礼日時：2014/06/12 00:15

No.5 回答者： NNori 回答日時： 2014/06/08 21:11

まぁ普通は、DMZを作るのだ。

というか標準技術だね。
大概の会社はこうしてるし、これ以上は考えてもしかたがない。
多段にしたところで、理論的にはいつかはやられるしぃ

こんな感じですね。

ファイヤウォールを２つ使って
外部－FW－DMZ－FW－内部NW　とする。
外部からはDMZ内のPCのみアクセス可能
内部NWはDMZ内のPCからのみアクセス可能
というように各FWを設定する。

DMZ（DeMilitarized Zone）非武装地帯
ぐぐってちょうだい。

この回答へのお礼

ご回答ありがとうございます。
返答が遅くなり申し訳ありません。

ご指摘のとおり、危険性を完全に排除することはできないのですね。
コスト面・手間などを考慮して、
折衷というか妥協というか、程よいところで設定するものだと理解しました。

DMZについては、応用情報技術者の試験を取得する際に勉強はしていたので、
言葉としては知っていましたが、実務としては関わったことがないので、
今回の機会にいろいろ調べまして、大変勉強になりました。

お礼日時：2014/06/11 22:20

No.4 回答者： bunjii 回答日時： 2014/06/08 08:02

>質問内容に記載しましたが、データベースサーバはインターネットにアクセスできないようにしたいのです。

サーバーの操作は管理者のみにするのが一般的な管理方法であり、インターネットへのアクセスは有り得ません。
極論すればキーボード、マウス、モニターを接続しないラックマウントのハードウェアで鍵付きの部屋へ設置するケースも有ります。
また、ネットワークの設定でデフォルトゲートウェイを空欄にすればセグメント外へのアクセスが遮断できます。
更にルーターでアクセス制限の設定をすれば良いでしょう。

>私が知りたいのは、外部からの攻撃に対する対処です。
外部からデーターベースサーバーへ接続して悪戯をすることはルーターの設定だけで防げます。
しかし、LAN内のPCから他人の公開サーバーにアクセスしたとき目的のコンテンツに未知の不正なプログラムが混在していたときはPCへ取り込まれます。（未知のものは非常に少ないが皆無ではない）
また、社員宛のメールに不正なプログラムが混在していることもあるでしょう。
従って、インターネットへ接続するPCと業務システムのPCは完全に分離したネットワークで運用すべきものです。
経費節減や使い勝手の利便性を優先すると落とし穴に落ちる結果になるのです。
大企業や政府機関のサーバーがコンテンツの改竄されるケースは公開サーバー（Webサーバー等）に代替コンテンツを上書きしていると思われます。
また、メールサーバーへ大量の不正メールを送り付けて正規のアクセスを妨害するケースも有ります。
中小企業や零細企業の特に目立たない会社については直接の攻撃は考え難いでしょう。

No.2 回答者： bunjii 回答日時： 2014/06/07 23:02

>外部と接点を持つことで危険性が発生するため、どうしたら、より安全なネットワークが構築できるかをお聞きしたいのです。

ハードウェア、ソフトウェアで対応できる範囲ではセキュリテイ確保に限界があります。
最大の効果を得られるのは社員の危機管理に対する理解と情報の秘匿性の認識です。
多くの情報流出は秘匿性の認識が甘いために起っているようです。
データーベースサーバーへアクセスできる端末でインターネットへも接続すること自体が既にセキュリティに問題が生じています。
特に顧客情報は名簿業者に売り渡しが横行していますので不正プログラムの侵入を食い止めるだけでは流出を防止できません。
社員のモラルが最大の防御手段であることを認識してください。

この回答へのお礼

ご回答ありがとうございます。

＞データーベースサーバーへアクセスできる端末でインターネットへも接続すること自体が既にセキュリティに問題が生じています。

質問内容に記載しましたが、データベースサーバはインターネットにアクセスできないようにしたいのです。

＞社員のモラルが最大の防御手段であることを認識してください。
それは確保した上での質問です。
ご回答いただいたとおり、どれだけセキュリティを強化しても、
情報の流出はユーザーのモラルが低ければ防げません。

私が知りたいのは、外部からの攻撃に対する対処です。

お礼日時：2014/06/07 23:25

No.1 回答者： bunjii 回答日時： 2014/06/07 19:05

>どのように構成・設定すれば、ファイル・プリンタを共有しつつ、安全なネットワーク構築が可能でしょうか？

そのようなネットワーク構成はありません。
インターネットへアクセスできるPCがファイル共有に参加すること自体がセキュリティ面で脅威になります。
「現在は、AとBの間でのファイルの移動はUSBメモリなどを使用していますが」と言う運用でも安全とは言えません。

この回答へのお礼

ご回答ありがとうございます。

＞インターネットへアクセスできるPCがファイル共有に参加すること自体がセキュリティ面で脅威になります。
ご指摘の通りのことは理解しています。

＞「現在は、AとBの間でのファイルの移動はUSBメモリなどを使用していますが」と言う運用でも安全とは言えません。
そのことも理解しています。
autorunを介したウィルスなどがあることも分かっています。
そもそも、社内に限定した話ではなく、USBでファイルをやり取りすること自体の危険性は分かっています。

外部と接点を持つことで危険性が発生するため、どうしたら、より安全なネットワークが構築できるかをお聞きしたいのです。

お礼日時：2014/06/07 22:11