NAS/ストレージ用VLAN:ファイルサーバーの露出を限定し、特定セグメントのみからアクセス許可する設計

投稿日:

NASは「全社共通の保管庫」ではない

中小規模のネットワークでは、NASを全PCが繋がっているメインネットワークにそのまま配置し、全員がアクセスできる状態(フルオープン)になりがちだ。しかし、これでは1台のPCがウイルスに感染しただけで、ファイルサーバー内の全データが読み取られたり、暗号化されたりするリスクにさらされる。

NAS/ストレージ用VLANの目的は、ファイルサーバーを専用のセグメントに隔離し、「許可された特定の端末やサーバー」からしかその存在を認識させないことで、データ漏洩とインシデント波及の範囲を最小限に抑えることにある。

構築の設計指針:アクセス権限を「場所」で縛る

ユーザーごとのログインID(論理アクセス)だけでなく、ネットワークセグメント(物理的・論理的な場所)でアクセスを二重に縛る。

1. ストレージ専用VLAN(VLAN300)の作成

  • 完全分離: PCが属する「業務VLAN」とは別の「ストレージVLAN」を定義する。
  • 非公開設定: ネットワークブラウジング(Windowsのエクスプローラー上で自動的にNASが見える状態)を無効化し、IPアドレスを直接指定しない限り到達できないようにする。

2. アクセス許可の「ホワイトリスト」化

ルーターやL3スイッチのACL(アクセス制御リスト)で、NASへのゲートウェイを厳格に管理する。

  • 許可: 「経理部門のVLAN」や「バックアップサーバー」など、特定のソースIP/セグメントからの通信のみ許可。
  • 拒否: ゲストWi-Fi、IoT機器、および一般的な「開発・事務セグメント」からのアクセスをデフォルトで遮断。

3. プロトコルレベルでの制限

単に通信を繋ぐだけでなく、必要なサービス(ポート)のみを開放する。

  • SMB (Port 445): ファイル共有用。
  • HTTPS (Port 443): 管理画面用(※ただしこれは管理者端末からのみ許可)。
  • SSH/Telnet: 原則として全遮断(メンテナンス時のみ一時開放)。

運用のメリット

  • ランサムウェアの「横移動」阻止: 感染したPCがNASをネットワークスキャンしても、VLANが異なりACLで遮断されていれば、NASを見つけることすらできない。
  • 機密データの物理的保護: 「総務・人事用NAS」へは「営業部VLAN」からは物理的に通信が届かない設定にすることで、設定ミスによる誤閲覧を構造的に防ぐ。
  • トラフィックの最適化: 重たいファイル転送のパケットが業務ネットワークを圧迫するのを防ぎ、通信の安定性を向上させる。

注意点:利便性とのトレードオフ

  • VPN経由のアクセス: 外出先からNASを使いたい場合、VPNクライアントに対しても「ストレージVLANへのルーティング」と「ACLの許可」を個別に行う必要がある。
  • マルチホーム接続の回避: NASのLANポートを複数使い、一つを業務VLAN、もう一つをストレージVLANに直接挿す「マルチホーム」構成は、NAS自体がネットワーク間の橋渡し(ブリッジ)になり隔離を無効化する恐れがあるため、避けるべきである。
アバター画像
0xc793

本サイトは、SOHO・個人・ホームネットワーク等の事業基盤や生活の継続を目的とした環境設計や実施タスクのナレッジです。セキュリティ、バックアップ、運用の各軸に基づき、エントリを配置していきます。