リモートメンテナンス用VLAN:外部VPN接続時のアクセス範囲を最小化する隔離プロトコル

投稿日: 更新日

「VPN接続=社内LANへの全開放」というリスクを排除する

保守業者やテレワーク端末がVPNで接続する際、多くの環境では社内ネットワーク(メインVLAN)に直接IPアドレスを割り当ててしまう。これでは、外部端末がウイルスに感染していた場合、接続した瞬間に社内の全サーバーやPCに対して攻撃スキャンが可能になってしまう。

リモートメンテナンス用VLANは、VPN接続者を「専用の待合室(隔離区画)」に収容し、そこから業務上不可欠な特定の機器に対してのみ、特定のルート(プロトコル)で通信を許可する設計指針である。

1. VPNクライアント専用のVLAN(VLAN500)定義

  • IPプールの分離: VPN接続時に割り当てるIPアドレス範囲を、一般業務用のセグメントとは完全に切り離したVLAN500に設定する。
  • デフォルト隔離: このVLAN500からは、デフォルトの状態ではインターネットへの出口も、他VLANへの経路も存在しない「孤島」状態とする。

2. ターゲットを絞った「ピンポイント許可」の設定

ルーターまたはファイアウォールのACL(アクセス制御リスト)を用いて、以下の通信のみを許可する。

  • 許可対象(宛先): メンテナンス対象のサーバーIP(例:FileMaker Server)のみ。
  • 許可プロトコル: * RDP (Port 3389):画面操作用。
    • HTTPS (Port 443):管理パネル用。
    • ICMP(Ping)やNetBIOSは拒否: ネットワーク内の他機器を探索(スキャン)させないため。

3. 「踏み台(ジャンプサーバー)」の強制

より高度なセキュリティが必要な場合、メンテナンス用VLANから直接本番サーバーへ繋がせず、一度「ジャンプサーバー」へのログインを挟む。

  • 二段階の壁: 1. 外部からVPNでVLAN500(隔離区画)へ。 2. VLAN500からジャンプサーバーへ(多要素認証を推奨)。 3. ジャンプサーバーからのみ、本番環境の各VLANへ接続可能。
  • ログの集約: 全ての操作がジャンプサーバーを経由するため、「誰が・いつ・何をしたか」の操作ログ(画面録画やコマンドログ)を確実に取得できる。

運用のメリット

  • サプライチェーン攻撃の阻止: 保守業者のPCが乗っ取られていても、社内ネットワーク全体への水平移動(ラテラルムーブメント)を構造的に防げる。
  • BYOD(私物端末)の安全利用: セキュリティレベルが不明な私物端末からの接続でも、影響範囲をVLAN内に限定できる。
  • 緊急遮断の容易化: 万が一の際は、VLAN500のインターフェースを閉じるだけで、他の業務に影響を与えずリモートアクセスを即座に遮断できる。

注意点:名前解決(DNS)の制御

VPN端末が社内サーバーを「名前」で解決しようとする際、社内DNSサーバーへの通信を許可する必要がある。この際、DNS問い合わせを通じて内部のホスト名リストが漏洩しないよう、必要最小限のレコードのみを応答させる、あるいはIPアドレスでの接続を基本とする運用も検討すべきである。

アバター画像
0xc793

本サイトは、SOHO・個人・ホームネットワーク等の事業基盤や生活の継続を目的とした環境設計や実施タスクのナレッジです。セキュリティ、バックアップ、運用の各軸に基づき、エントリを配置していきます。