リモートメンテナンス用VLAN:外部VPN接続時のアクセス範囲を最小化する隔離プロトコル
「VPN接続=社内LANへの全開放」というリスクを排除する
保守業者やテレワーク端末がVPNで接続する際、多くの環境では社内ネットワーク(メインVLAN)に直接IPアドレスを割り当ててしまう。これでは、外部端末がウイルスに感染していた場合、接続した瞬間に社内の全サーバーやPCに対して攻撃スキャンが可能になってしまう。
リモートメンテナンス用VLANは、VPN接続者を「専用の待合室(隔離区画)」に収容し、そこから業務上不可欠な特定の機器に対してのみ、特定のルート(プロトコル)で通信を許可する設計指針である。
1. VPNクライアント専用のVLAN(VLAN500)定義
- IPプールの分離: VPN接続時に割り当てるIPアドレス範囲を、一般業務用のセグメントとは完全に切り離したVLAN500に設定する。
- デフォルト隔離: このVLAN500からは、デフォルトの状態ではインターネットへの出口も、他VLANへの経路も存在しない「孤島」状態とする。
2. ターゲットを絞った「ピンポイント許可」の設定
ルーターまたはファイアウォールのACL(アクセス制御リスト)を用いて、以下の通信のみを許可する。
- 許可対象(宛先): メンテナンス対象のサーバーIP(例:FileMaker Server)のみ。
- 許可プロトコル: *
RDP (Port 3389):画面操作用。HTTPS (Port 443):管理パネル用。- ICMP(Ping)やNetBIOSは拒否: ネットワーク内の他機器を探索(スキャン)させないため。
3. 「踏み台(ジャンプサーバー)」の強制
より高度なセキュリティが必要な場合、メンテナンス用VLANから直接本番サーバーへ繋がせず、一度「ジャンプサーバー」へのログインを挟む。
- 二段階の壁: 1. 外部からVPNでVLAN500(隔離区画)へ。 2. VLAN500からジャンプサーバーへ(多要素認証を推奨)。 3. ジャンプサーバーからのみ、本番環境の各VLANへ接続可能。
- ログの集約: 全ての操作がジャンプサーバーを経由するため、「誰が・いつ・何をしたか」の操作ログ(画面録画やコマンドログ)を確実に取得できる。
運用のメリット
- サプライチェーン攻撃の阻止: 保守業者のPCが乗っ取られていても、社内ネットワーク全体への水平移動(ラテラルムーブメント)を構造的に防げる。
- BYOD(私物端末)の安全利用: セキュリティレベルが不明な私物端末からの接続でも、影響範囲をVLAN内に限定できる。
- 緊急遮断の容易化: 万が一の際は、VLAN500のインターフェースを閉じるだけで、他の業務に影響を与えずリモートアクセスを即座に遮断できる。
注意点:名前解決(DNS)の制御
VPN端末が社内サーバーを「名前」で解決しようとする際、社内DNSサーバーへの通信を許可する必要がある。この際、DNS問い合わせを通じて内部のホスト名リストが漏洩しないよう、必要最小限のレコードのみを応答させる、あるいはIPアドレスでの接続を基本とする運用も検討すべきである。
