社内のネットワーク構成について

お世話になっております。

社内にて、インターネットに接続していないCAD系ネットワークと
インターネットに接続しているPC系ネットワークの2種類のネットワークがあります。
(IPアドレスの系統 と ワークグループが別のもの)

その二つのネットワークがあるのですが、
CAD系とPC系のどちらとものネットワークから見れるファイルサーバを用意したいと思っています。
(現状はCAD系のみでの使用)

そのファイルサーバーにLANボードをさして、LAN2系統どちらともから、
アクセスできるようになるはずです。

また、これにより、ファイルサーバをプリンタサーバとして利用し、
PC系からプリンターとプロッターを使用したいとも考えています。

ところが、こうすることにより、PC系がインターネットに接続しているため、
CAD系のデータをインターネットから見ることができてしまうのではないかと考えています。

これ以外になにかよい案はないでしょうか？
CAD系PC系ともにWindowsでファイルサーバーもWindowsです。
ファイルサーバーはWindowsにこだわりはないのでLinax+sambaなどでも問題ありません。
CAD系とPC系を合わせると30台近くになるため、アクセス台数の上限も気になります。

まとめますと。

◎CAD系PC系の共有フォルダがほしい。
◎PC系からCAD系のプリンターを使えるプリンターサーバがほしい。
◎このサーバアクセス人数の上限が30台くらいほしい。
◎CAD系データがインターネットから見れてしまうと困る。

なにぶん情報不足なところもあると思いますが、
この情報を追加でほしいなど、都度いっていただければ回答します。

以上
よろしくお願いします。

No.4 ベストアンサー 回答者： harshmistress 回答日時： 2016/08/02 19:12

本当はちゃんとしたネットワーク設計やった方が良いんですけどね。

消して安くは無いですが、インフラ屋は結構あるので（商社とかも斡旋してます）。

◎CAD系PC系の共有フォルダがほしい。
Linux+sambaで構築で良いと思います（最新版は速度面で全く問題ないです）が、プリンタが問題です

◎PC系からCAD系のプリンターを使えるプリンターサーバがほしい。
CAD系のプリンタがLinuxに対応しているかどうかは要確認かと。刷り出せない場合、
別途で省電力なPC（たとえばNUC　http://www.intel.co.jp/content/www/jp/ja/nuc/ove …）を
windowsでプリンタサーバに仕立てた方が良いです。
但し、最大同時接続数は20台になりますので、もう一工夫する必要があります。

◎このサーバアクセス人数の上限が30台くらいほしい。
ファイルサーバへのアクセスは扱うデータの大きさとインフラ次第です。
ただCADなら、大した転送量でもなさそうなので、cat5eケーブル＋1GNIC、ハブで事足りそうです。
ファイルサーバにNICを増設して束ねることも出来ますし。
ライセンス面では、30台ならLinuxがいいのでは。
Windows ServerはCALがかかってくるので。
大容量データの送受信を行うのであれば、ファイルサーバのスペックを高く設定してあげて下さい。
http://roserogue.blogspot.jp/2014/12/blog-post.h …

◎CAD系データがインターネットから見れてしまうと困る。
ルータであえて外部公開するような設定をしていない限りは、インターネット側からファイルサーバは見えないです。
但し、悪意をもってご質問者様のネットワークに侵入しようとした場合は話が変わってきまして、
最悪抜かれます。
どんな対策をしようが、外部ネットワークに接続されている以上仕方が無いリスクだとお考え下さい。
勿論、対策すればするほどリスクは減りますが、ゼロにはなりません。
ただもう、そんなことを言っていると、という時代にもなってきましたので、会社としてのリスクコントロールをどうするか
話し合いの場を設けられた方が良いと思います。

皆さんおっしゃっているように、ファイヤーウォール（ゲートウェイ）サーバは欲しいところですが、
どうもそんな感じでもなさそうですよね。

No.3 回答者： zircon3 回答日時： 2016/07/28 09:19

> ところが、こうすることにより、PC系がインターネットに接続しているため、

> CAD系のデータをインターネットから見ることができてしまうのではないかと考えています。

　それは社内への出入り口に何も防御の処置をしていない場合です。
　また、社内の機器のIPアドレスはグローバルIPアドレスなのでしょうか？
　一般的にはプライベートIPアドレスかと思いますが。。。
　プライベートIPアドレスの場合、直接インターネット側（グローバルIPアドレス側）から社内の機器に向けてアクセス要求をすることは出来ません。

　どういう事を言っているかわかりますか？
　社内の機器はインターネット上のサーバに対して要求を出し、その応答を受けることが出来ます。使用しているIPアドレスがプライベートIPアドレスであってもです。自宅でのインターネット利用の場合も同じです。
　しかしこの逆、つまり、この機器にサーバ型のアプリケーションが立ち上がっていても、他場所にある機器からこの機器のIPアドレス（プライベートIPアドレス）を指定してインターネット経由で直接アクセスすることは出来ないのです。
　インターネットを飛び交う情報単位（パケット）にはWebやメールなどのアプリケーション・データの他に発信者のアドレスや送信先のアドレスなど沢山の制御情報が乗せられているのですが、送信先のアドレスにプライベートIPアドレスを乗せてはいけない決まりで、そうならないように出来ています。

　一方。
　社内ネットワークとのことですが、構成を拝見するとメールサーバなどはいません。そういった物は全て社外の業者のサービスを利用していると考えてよいでしょうか？
　そのためなのかわかりませんが、インターネット接続環境が個人宅と同じで防御処置が何もされていないように見受けられます。
　ここの対処をされるのがよいでしょう。簡単な言葉で言えば「ファイアーウォールの設置」です。
　また、CAD系とPC系の両方からアクセスできるファイルサーバー（とプリンターサバ―なのかな？）を設ける場合もCAD系とPC系でネットワークを分け、PC系ネットワークに接続された機器からはCAD系の機器が見えない（その逆も）といった処置も必要なように思います。
　もちろんファイルサーバー上のディレクトリ構成と管理方法もしっかり計画し、双方で共有したいデータ以外は見えないようにしたり、PC系の中でも例えば人事や経理のデータは誰でも見られる状態にしないといったものにする必要があります。

参考まで。

No.2 回答者： yambejp 回答日時： 2016/07/26 11:37

結局つながってしまえば、流出するリスクは相当高くなります。

直接ファイルサーバーにアクセスされなくても
PC系のネットワークの１ユーザーが情報を抜き出して、
社外に送信してしまえば同じことです

ネットワークは分かれているからこそ意味があるのであって
繋いでしまえば情報流出はとめられないでしょう

この回答へのお礼

ご回答、ありがとうございます
そうですね、データの移動はUSBメモリでやるしかないのですかね。
しかしながら、USBメモリをなくしてしまうリスクもあるのですが。
そうですね、どうしたものか・・・・・

お礼日時：2016/07/26 11:43

No.1 回答者： プログラマーもっくん 回答日時： 2016/07/26 10:54

ファイアウォールを設置するのが良いと思います。