UniFi環境における「Network Isolation」の最適解:小規模環境向けの推奨構成テンプレート
UniFiエコシステム特有の「隔離」の考え方
UbiquitiのUniFiシリーズ(Dream Machine, Cloud Gateway等)は、VLAN設定とファイアウォールルールが密接に統合されている。特に最近のアップデートで導入された**「Network Isolation(ネットワーク隔離)」**チェックボックスは、非常に強力だが「何がどこまで制限されるのか」を理解していないと、必要な通信まで遮断してトラブルの原因になる。
本稿では、小規模オフィスやSOHOにおける「これさえ設定すれば安全」というUniFi標準の構成テンプレートを解説する。
1. 隔離の3段階アプローチ
UniFiでは、以下の3つの機能を使って多層的に隔離を構築する。
① VLAN(Virtual Network)の作成
まず、用途別にネットワークを物理的に分ける。
- Default (Management): UniFi機器(ルーター、スイッチ、AP)専用。PCは繋がない。
- Staff (VLAN 10): 社員用PC、プリンター。
- IoT (VLAN 20): カメラ、スマートプラグ、家電。
- Guest (VLAN 99): 来客用。
② 「Network Isolation」スイッチの活用(簡易隔離)
各ネットワーク設定内にある [Network Isolation] チェックボックスをONにする。
- 効果: そのVLANから他の全ての内部VLANへのルーティングが自動で遮断される。
- メリット: 複雑なファイアウォールルールを書かずに、ワンクリックで「インターネット専用セグメント」が作れる。
- 注意点: プリンター共有など、VLANを跨ぐ通信が1つでもある場合は、このスイッチを使わず「Manual(手動)」でルールを書く必要がある。
③ Device Isolation(AP隔離 / ポート隔離)
同じWi-Fiや同じスイッチに繋がっている端末同士の通信を禁止する。
- Guest Wi-Fi: [Guest Network] プロファイルを選択するだけで自動適用。
- 有線ポート: 各スイッチポートの設定で [Isolation] をONにする。
2. 推奨:ファイアウォール構成テンプレート(Manual)
「Network Isolation」スイッチでは細かな制御ができないため、実務では以下の 「LAN IN」 ルールを定義するのがUniFiの王道構成である。
| 優先順位 | ルール名 | 動作 | ソース | 宛先 | 備考 |
| 2000 | Allow Established/Related | Accept | Any | Any | 通信の「戻り」を許可(必須) |
| 2001 | Allow Staff to IoT (mDNS) | Accept | Staff | IoT | スマホからIoT操作を許可 |
| 2002 | Drop IoT to All VLANs | Drop | IoT | All VLANs | IoTからの侵入を完全遮断 |
| 2003 | Drop Guest to All VLANs | Drop | Guest | All VLANs | ゲストからの侵入を完全遮断 |
3. IoT機器のための「mDNS」設定
VLANを分けると、iPhoneからテレビを操作したり、PCからプリンターを探したりできなくなる。これを解決するのが [mDNS Responder] である。
- 設定場所: [Settings] > [Services] > [mDNS] をONにする。
- 効果: VLANの壁を越えて、デバイスの「発見パケット」だけを転送してくれる。これにより「セキュリティは隔離しつつ、利便性は維持する」運用が可能になる。
4. 運用上のチェックリスト
- 管理画面の保護: [Traffic Management] で、Staff以外のVLANからルーターのIP(管理画面)へのアクセスをブロックしているか?
- 未使用ポートの閉鎖: 物理的なポート設定で、使っていない場所は [Disabled] になっているか?
- バックアップ: UniFi OSの自動バックアップを有効にし、設定変更前には必ず手動バックアップを取っているか?
