オフサイトバックアップ専用VLAN:外部拠点との通信経路を論理隔離し、侵入経路を限定する

投稿日:

遠隔地バックアップは「便利な裏口」になりかねない

災害対策(BCP)として外部拠点やクラウドストレージへデータを送る際、拠点間をVPNや専用線で結ぶのが一般的だ。しかし、この通信経路がメインネットワークと混在していると、**「遠隔地の拠点がウイルス感染した際に、バックアップ経路を逆流して本社が攻撃される」**というリスクが生じる。

オフサイトバックアップ専用VLANは、遠隔地との通信を特定の「隔離された土管(論理経路)」に閉じ込め、本社側の重要資産へ指一本触れさせないための設計指針である。

構築の設計指針:ハブ&スポーク型の徹底隔離

本社と支店(または自宅・データセンター)を繋ぐ際、ネットワーク全体をブリッジするのではなく、バックアップ通信「だけ」が通る専用のバイパスを作る。

1. 両拠点での専用VLAN(VLAN400)定義

  • 本社のVLAN400: 本社のバックアップサーバー/NASが所属。
  • 支店のVLAN400: 支店のバックアップ用ストレージが所属。
  • 相互通信の限定: 本社の一般業務VLAN(VLAN10)から、支店のVLAN400へのルーティングは原則遮断する。

2. VPNトンネルのセグメント限定(ポリシーベースVPN)

拠点間VPN(IPsec等)を貼る際、許可するネットワーク(Local/Remote Network)を「VLAN400」同士のみに限定する。

  • 効果: もし支店のPCがランサムウェアに感染して本社をスキャンしようとしても、VPNトンネル自体が「VLAN400のパケット以外」を通さないため、本社のメインネットワーク(VLAN10)は支店から物理的に見えない状態になる。

3. 一方向性の確保(ステートフル・インスペクション)

ルーターのファイアウォールで、通信の開始方向を制限する。

  • 許可: 本社VLAN400支店VLAN400(同期の開始)。
  • 拒否: 支店VLAN400本社VLAN400(支店側からの接続開始を禁止)。
  • これにより、支店側が物理的に盗難・侵害されても、本社側へアクセスを仕掛ける「踏み台」にされるのを防ぐ。

運用のメリット

  • BCPの安全性向上: 遠隔地バックアップという「守りのための仕組み」が「攻め込まれる穴」になる矛盾を解消できる。
  • 拠点間トラブルの遮断: 支店側のネットワーク構成ミスやループが発生しても、隔離されたVLAN内での出来事で済むため、本社側の業務に影響が出ない。
  • トラフィック管理の容易化: 大容量のバックアップ転送が拠点間VPNの帯域を占有しても、QoS(優先制御)をVLAN単位でかけやすくなる。

注意点:証明書と認証の管理

  • VPNの認証: 拠点間接続には共有鍵(PSK)だけでなく、証明書認証を併用し、万が一支店側のルーターが物理的に盗まれても、即座に本社側で証明書を失効(Revoke)させて接続を遮断できるようにしておく。
アバター画像
0xc793

本サイトは、SOHO・個人・ホームネットワーク等の事業基盤や生活の継続を目的とした環境設計や実施タスクのナレッジです。セキュリティ、バックアップ、運用の各軸に基づき、エントリを配置していきます。