社内LANへの他社接続を禁止

私が管理者を拝命したときには、社内に事務所を構えることになった別の会社に社内ネットワークへの接続を許した状態になっていた。社長同士では気心の知れた会社であり、またメールやウェブブラウジング以外をしそうな人ではなかったが、これではセキュリティを守っているとは言えない。

そこで、構内常駐会社のために専用のネットワークを設けることにした。ついでに応接室などでもこのLANを使用可能にし、応接室で電話回線経由でネットに接続していたお客様にLANの使用をお勧めした。また、Y社のADSLを使っていてサービスの悪さに困っていた構内常駐の別の会社にもLANを提供して喜んでもらった。

IPアドレスの変更

社内LANのIPアドレスとしてはプライベートアドレスでない、グローバルアドレスの番号が使われていた。もちろん、グローバルアドレスの権利を持っていた訳ではなく、本来プライベートアドレスを使うべきところにグローバルアドレスの番号を使っていたのであった。

なぜこういうことになっていたのかわからないが、社内のネットワークを設計した当時のNTTの資料には、このアドレスでは社外へのアクセスに支障が出ると書いてあったので、わかっていてやったことのようだ。

当時はまだこの番号は割り当てられていなかったのかもしれないが、あるときファイアウォールの設定を表示させてみると、この番号に割り当てられているドメイン名が番号の代わりに表示されることがわかった。しかも、それは日本国内のドメインであった。IPアドレスが共通のサイトへのウェブアクセスはプロキシサーバを導入していたので問題にはならないだろうと思ったが、後になればなるほど変更が困難になると思ったので、正しいプライベートアドレスに変更することにした。

パソコン300台ほどを一斉に変更するという計画をたてたのだが、やはり怖い。そこで、順次変更していくことができないかと考えて、LAN上に新旧両方のIPアドレスを共存させるテストをしてみると意外にも共存できることが分かった。両方のIPアドレス体系のインタフェースを持ったゲートウェイを作って物理的には同じLANに接続したら、ちゃんと相互間の通信ができたのである。それで、同じプリンタを使う職場を一つの単位として順次切り替えを進めることができた。実際に切り替え作業をやってみると、いろいろなトラブルがあり、全社一斉に切り替えたりしていたらとんでもないことになったであろうと、あとで胸をなでおろしたのであった。

beatを使ったリモートアクセス

beatを採用した本当の理由はWebのコンテンツフィルタ機能ではなかった（あやうく書き忘れてしまうところだった）。本当の理由はリモートアクセスである。この機能を使うと、遠方にある営業所のパソコンや出張者が持ち出したパソコンから社内LANに接続することができる。

この認証には、パソコンのハードウェア認証が含まれ、システム管理者が知らないところでパソコンが社内LANに接続されるという心配はない。欠点はいちいち接続操作が必要なのと、接続が3時間で自動的に切れてしまうところである。まあ、ここはセキュリティのために辛抱してもらうしかない。