皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

先日、ある方から連絡をいただき、過去の『別セグメントへのTCP/IP印刷』の件を思い出しました。

今回は、ずっと印刷できていたものが印刷できなくなってしまったという話しです。

別セグメントへの印刷ができなくなった

過去記事にもあるように、セグメントが異なるプリンタへの印刷は可能です。

ただし、条件があります。

プリンタの置かれているセグメントにあるルータの設定で『プライバシーセパレート（ネットワーク分離）』は『OFF』にしておかないといけません。

さて、本題に戻り、別セグメントへの印刷ができなくなってしまった件ですが、話しを聞いてみるとどうやらプリンタの置かれているセグメントのルータを交換したようなのです。

実際に設定を見たわけではないので何とも言えないですが、可能性的には以下のようなことが想定できます。

・別セグメントに置かれているプリンタのIPアドレスが変更された

ということになるかと思います。

ルータを交換した場合、クライアントからのアクセスやプリンタからの印刷チェックも当然行いますが、その際に他のセグメントからの印刷はチェックされずに作業を終えてしまったのでしょう。

この際、固定化されていたプリンタのIPアドレスが変更されたか、もしくはクライアントと同じDHCP取得にしてしまった可能性もあります。

ここで言えることとして、ルータなどを交換する場合にはネットワーク全体をチェックした上で行わなければいけないということです。

そうしないと、他部署や他業者が巻き添えになったり、他業者にサポート依頼をするために会社が余分な支出を強いられることにもなります。

大手企業が行うことも結構いい加減なものです。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

スマートフォンやタブレットなどのモバイルデバイスの普及とともに、Wi-Fi（無線LAN）に関しても随分普及してきました。

この簡単で便利なWi-Fi（無線LAN）は昨今オフィス内でも重宝されてはいますが、やはり有線LANと比べるとどうしてもセキュリティのリスクが高まります。

では、どのようにしてWi-Fi（無線LAN）を活用するのが良いのでしょうか？

完全に守られたセキュリティはない

どんなセキュリティ対策を施したとしても、それは100%保証された、100%守られた世界ではありません。

現に、米国国家機関であっても攻撃を受けることはあります。

セキュリティ対策は、リスクを軽減するためにできる限りのことを行うというものであって、そもそも保証された世界は存在しないのです。

Wi-Fiの安全な設定・運用

一番リスクを軽減できる方法はWi-Fi（無線LAN）を使わないことです。

ただ、それでは利便性が損なわれてしまうこともありますので、以下の設定・運用を行ってみると良いでしょう。

１．可能であればIEEE802.1x認証（デジタル証明書を用いた認証）を施す

（これは中小・零細企業にはハードルが高いかもしれません。）

２．１が難しい場合、認証方式はWPA2-PSK/WPA-PSKを採用する

（WEPは脆弱なので避ける。）

３．暗号化はAESを採用する

（TKIPよりAESの方が解読されにくいです。）

４．パスフレーズはアルファベットの大文字・小文字、数字、記号を混在させ、長めで推察されにくいものを設定する

５．ステルス機能やANY接続拒否を使い不特定のパソコンからアクセスさせない

６．MACアドレスフィルタリングを用い社内で特定されたパソコンのみからの接続とする

７．プライバシーセパレーターなどを使いデバイス間の通信を禁止にする

（セグメントを越えてプリントアウトなどしている場合は禁止にすると印刷できないので注意が必要です。）

８．ゲスト用に開放しているWi-Fiとはネットワークを切り離す

９．勝手にネットワーク構成を変更させない

（Wi-Fiルータの有線LANポートにすら勝手にケーブルをつながせない。）

１０．退職者が出た場合などはパスフレーズなどを設定し直す

これらの設定や運用を行い、できる限りリスクを軽減しておくことが重要です。

しかし、このセグメント分割に対して間違った認識をしている人もいます。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

今日は、企業間の担当者同士にあった会話の中で耳を疑うような内容のものをご紹介します。

それはこんな内容です。

TCP/IP印刷に対する間違った認識

A氏：『新しく別のセグメントでネットワークを追加したのですが、そちらのセグメントにあるプリンタに印刷させてもらって良いでしょうか。』

B氏：『プリンタを使う分には構いませんが、TCP/IP印刷は同一セグメント内でしか印刷できないですよ。』

A氏：『いえ、別のセグメントに対しても印刷はできます。念のため社内でもテストをしてきましたので。』

B氏：『そんなことはあり得ませんよ。それは間違っていますね。』

A氏：『では、印刷の許可だけもらえれば結構です。』

こんな感じの会話なのですが、これはどちらが正解かというと、Aさんは正しくBさんは間違いです。

ちなみに、とあるプリンタを製造しているメーカーのサポートセンターのオペレーターもB氏と同じことを言っていたようなので驚きです。

別セグメントへのTCP/IP印刷

この会話が行われたところのネットワーク構成は下記のような構成です。

B氏構築のネットワークセグメント：192.168.1.0/24

同ルータLAN側IP：192.168.1.1（デフォルトゲートウェイ）

同セグメント内のプリンタIP：192.168.1.100

A氏構築のネットワークセグメント：192.168.2.0/24

同ルータWAN側IP：192.168.1.200、デフォルトゲートウェイとDNS IP：192.168.1.1

同ルータLAN側IP：192.168.11.1

同クライアント：DHCP自動取得

こんな感じのネットワーク構成になっているのですが、A氏が構築したネットワーククライアントからは下記のようにプリンタを設定します。

プリンタポートをStandard TCP/IPとし、プリンタのIPアドレスに192.168.1.100を設定します。

それ以外は、プロトコルでLPRを選択してLPRのキュー名を入れるか、Rawを選択してポート番号に9100などを設定するかです。

この設定で基本的には192.168.2.0のセグメントにあるクライアントから192.168.1.0のセグメントにあるプリンタ192.168.1.100に印刷を行うことができます。

もしこれで印刷できないとすれば、プリンタの置かれているセグメントにあるルータの設定としてプライバシーセパレート（ネットワーク分離）をしている可能性があります。

その場合はその機能をOFFにしないと印刷することができません。

ご参考までに。

さて、この真意は？

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

冒頭にお書きした内容は実際に起きた内容なのですが、こういった話しはよくあると言えばよくある話しです。

では、何故業者はこういった対応になるのでしょうか？

別セグメントのネットワーク

今回の事例では、元々A社が構築されていた業務システムネットワークに配慮し、別のセグメントにて構築するというものでした。

＜業務システム側のネットワーク＞

ルータ：192.168.10.1
サーバ：192.168.10.2（GW-192.168.10.1）
業務システムクライアント：192.168.10.3～5（GW-192.168.10.1）
事務クライアント：192.168.20.3～5（GW-192.168.20.1）

＜B社追加構築のネットワーク＞

無線LANルータ：WAN側-192.168.20.100（GW-192.168.20.1）/LAN側-192.168.30.1
クライアント：DHCP自動取得

簡単にはこんな感じなのですが、事務クライアントはアドレス変換にてルータを経由してインターネット回線に出ます。

また、B社追加構築のクライアントは、無線LANルータのWAN側である192.168.20.100からゲートウェイを通じて事務クライアントと同じ経路を経由してインターネット回線に出ます。

つまり、構成上から業務システムに与える影響はないのです。

もし可能性があるとしたら、事務クライアントも業務システムに影響を与える可能性を秘めていることになりますので、A社が主張したことは少々矛盾を感じます。

（A社も一般的には問題がないはずであることは認めていた。）

業者は自社以外のものを避けたがる

では、何故A社は業務システムへの責任を回避したかったのか？

よく、システム業者同士がサーバを分けて欲しい旨をクライアントに依頼することはあります。

単純に、どちらのシステムが問題で不具合が生じたのかの切り分けが難しく、相手方のシステムの問題であっても自社も調査をしなければいけない可能性を秘めているからです。

しかし、ネットワークの場合、別々に分断されたネットワークでは片方がインターネット回線を使用することができなくなってしまいますので、どこかでつなげておくしかありません。

そのためにセグメントを分け、影響が出ないようにしてつなげているわけです。

となると何故なのか？

私からすると、業務システム全体を把握できていないような気がします。

もし新しいネットワークの一部である無線LANルータを懸念しているのであれば、既に事務クライアントでも近い可能性はもっていますので、結局のところは全体を把握しきれていないと考えざるを得ないです。

もしくは、自分達が携わったもの以外による影響の可能性を残し、インシデント発生時の盾にしたいのではないかと思われます。

平たく言えば、問題が起きたら調査費用を請求したいということなのでしょう。

いずれにせよ、もう少しクライアントファーストである必要性があるのではないでしょうか。