ポイント ●暗号化していない通信は，パケット・キャプチャ・ソフトで簡単に中身を見ることができる。したがって，できるだけLANを区分けして不要な場所にはデータを流さないようにするのが望ましい ●LANスイッチ（レイヤー2スイッチ）が持つVLAN機能を利用することにより，1台のLANスイッチで複数の独立したLANを構成すれば，データが不要なLANに流れるのを防ぐことができる ●管理のためなどにLANスイッチ内部を流れているデータを確認するときには，ミラーリングポート機能を持つLANスイッチを使うとよい

　LANにはいろいろなデータが流れています。データの機密度や性質によって，必要な人だけが必要なデータを見られるようにするのがベストです。ただ，普通にLANを構築していると無関係な端末にもデータが流れ込んだりして，それをキャプチャされると中身が丸見えになってしまいます。そこでLANスイッチのVLAN機能を使い，仮想的にLANを複数に分割することでデータが流れ込む範囲を限定したりします。このVLAN機能を使ったセキュリティ対策について学びます。

LANスイッチとは

　VLANの話に入る前に，LANスイッチ（レイヤー2スイッチ）の基本的な仕事を確認しておきましょう。

　企業などでLANを構築する際にはLANスイッチが使われます。LANスイッチでは，ポートごとにどんなMACアドレス（LANカードごとに割り振られたユニークな48ビット長の番号）の機器がつながっているかを覚える機能と，記録したMACアドレスの情報テーブルを基に，適切なポートにだけ受信データ（フレーム）を転送する機能を持っています。

　この結果，LANスイッチは目的の端末がつながるポートだけにデータを転送し，無関係なポートにはデータを転送しません（フィルタリングする）。ただし，LANスイッチの電源投入直後で，MACアドレスを覚えていない状態では，フィルタリングが有効になりません。このため，リピータ・ハブと同じように，受信ポート以外の全ポートにデータを転送してしまいます。またMACアドレスを記録した後でも，ブロードキャスト・パケット（同じセグメントの全員あてに送られたパケット）は全ポートに転送します（図1）。

　このため，MACアドレスを学習してフィルタリングする機能は，セキュリティ向上というよりは，余計なトラフィックを抑えるための機能と言えます。

図1 リピータ・ハブとLANスイッチの動作

LANを分割することでセキュリティ強化

　LANを流れているデータは，暗号化されていない場合，パケット・キャプチャ・ソフトなどで簡単に中を見ることができます。例えば，暗号化されていない状態の電子メールを，パケット・キャプチャ・ソフトで見てみると，図2のように内容が丸見えです。

図2 暗号化されていない電子メールのデータをパケット・キャプチャ・ソフトで見ると，内容を読み取ることができる

　もちろん暗号化してもデータは必要なところにだけ流すようにした方が，セキュリティが高まります。企業ネットの例で考えてみましょう。開発部と営業部では，扱う情報の性質が異なります。同じ組織内であっても，それぞれの部署で扱う情報が流れる範囲は限定したほうが良いでしょう。そこでLANを複数に分割して，それぞれの部署が独自にLANを使うようにします。

　この時，LANスイッチを何台も購入し，ネットワークを別々に作って適切な設定をすることで実現することはできます。しかし，LANスイッチの持つVLAN機能を使えば，1台のLANスイッチで複数の仮想的なLAN（VLAN）を作ることができます。