　VLANは「仮想ローカルエリアネットワーク」とも呼ばれ、物理的に同一のスイッチにつながっていながらも、あたかも別々のスイッチにつながっているように見せる機能です。別々のスイッチにつながっているということは、それぞれのネットワークを接続するために、より上位層のネットワーク機器であるルーターを使って通信しなければなりません。この状態を仮想的に一つのスイッチの中で作り出す技術がVLANです。

　このようにVLANはネットワークを分割することができるので、例えば、あるVLANで発生した障害が他のVLANに影響してしまうリスクは低くなります。

　また、より強固に保護しなければならないPLCやHMI、SCADAなどといった機器を別々のVLANに接続すれば、これらの重要な機器に不正にアクセスされるリスクも低くなります。

　ただ、VLANを利用する場合にはネットワークが分割されますので、通信が制御できる反面、適切に設定されないと通信ができなくなることもあります。VLANを設定する場合はあらかじめ期待されるネットワーク通信が可能かどうか確認を忘れないでください。

図5　VLANを用いたネットワーク分割（クリックで拡大）出典：ネットワンパートナーズ

継続的な評価と改善が重要

　より強固なセキュリティ対策には、時間とコストが必要となるため後回しにされてしまうことも少なくありません。ご利用になるセキュリティ製品の特長と弱点をよく理解して、最大限の効果が得られる方法を探してみてください。そして、セキュリティ製品は導入して対策が完成するわけではありません。継続的な評価・改善を行っていくことが非常に大切です。

　次回は、イーサネットスイッチを導入後、ネットワーク運用を行う際に知っておくと便利な機能を紹介します。

第6回：「工場内ネットワークを守る運用手法とトラブル対処法」

筆者プロフィル

藤原博史（ふじはらひろふみ）

ネットワンパートナーズソリューション事業部マーケティング＆ビジネス開発部第2チームエキスパート

情報セキュリティの国際認定資格CISSP（Certified Information Systems Security Professional）を保有。ネットワーク監視サービス/技術開発、ルーター／スイッチ製品の技術サポートやマーケティング業務などを経て、2014年よりネットワークセキュリティ製品の技術サポートを担当。2015年から、製造業を中心としたIoTインフラ基盤の導入時の技術支援を中心に活動中。