情報を守るためのネットワーク(1)

情報を守るためのネットワーク(1)


こんにちは。匠技術研究所の谷山 亮治です。
Pマーク取得に耐えうるようにシステムを再構築しています。全面的なシステム変更でありながら、業務に大きな影響を与えないように、少しずつ移行する点がポイントです。

既存のネットワークはひとつのセグメント上に何でもあります。新しいネットワークではVLANを使ってセグメントを増やし、新しいネットワークアドレス体系に移行し情報の流れを整理します。

とはいえ、過去のネットワークを組んでいないので、新しいネットワークに移行すると予定外の事態が起こり得ます。それを避けるために、いきなりVLANを使うことなく、現行のネットワークとの混在環境を作り、正常動作を確認しつつ移行します。安全を確認したところで、新しいVLANを使ったネットワークに完全移行します。

混在環境を作ることににもネットワーク設計の知識と経験が必要です。できれば混在ネットワークなど作りたくありません。「混在ネットワークだから起こりうる障害」があるからです。

今回は、新設のインターネット・ゲートウエイRTX1500が関連する予定外の事態がありました。既設のRTX1000に主たる経路を振り替えたことで、運用には影響ありませんが、複雑な環境には、問題が潜んでいることを改めて痛感しています。

同じ設定で、同じネットワーク上のRTX1000は見かけ問題なく動作し、同様の設定をしたRTX1500の経路では問題が顕在化しました。この設定はヤマハルータの問題ではなく「混在ネットワークに加えてある設定をし」かつ「ある動作条件」から発生したもので、一般的なネットワークでは発生することはありません。ご安心ください。

「ルータを作る人」と「ルータを使う人」は違います。お互い意図しない使い方をすることはありえます。ルーターの設定は「プログラム」と同じで「ルータを作った人が意図したことが正」です。同じように、VLANスイッチでもそうですし、Windows Serverでもそうです。みんな「作ったほうが正」だと主張します。

ところがネットワークでは立場が逆転し「ネットワークを使う人」が正です。さらに「想定外の使い方」にも備える必要があります。「無線LANは危険だから止める」というのは簡単ですが「無線LANを使わないと仕事にならない」とすれば、後者が正なのです。

「情報セキュリティを確保しやすいネットワークにする」というのは簡単ですが、移行期に仕事が止まらないことも含めて設計し、実装していくことは決して簡単ではありません。お客様にとっては「業務を止めない事」が正だからです。逆に、その辺りをどう解決するかが技術者として面白いところです。


ヤマハルータ設定セミナー2009年02月分のご案内

VPNの四方山話/RTXVPN.COMへ
（*）OCN固定IPのお得情報あります。アクセスのほどよろしくお願いします。
（*）この記事の作成・投稿はWindowsXPとFirefox3上で行いました。

☆中小企業のIT活用に関する、ご質問・ご相談はお気軽にどうぞ！