[徹底解説]セキュリティ強化！LAN内で一部PCをネット接続禁止にする方法

LAN内の特定PCを外部ネットワークから遮断する方法を徹底解説します。

セキュリティ強化や柔軟な管理を実現する設定手順を紹介しています。

概要

1. DNSサーバの設定をしない

• 外部ネットワークにアクセスするには、DNSサーバが必要です。DNSサーバのアドレスを設定しなければ、パソコンはドメイン名（例: www.example.com）をIPアドレスに変換できないため、インターネットへの接続が困難になります。
• 具体的には、ネットワークアダプタのTCP/IP設定でDNSサーバの項目を空白にするか、不適切な値（例えば、192.168.0.1など存在しないサーバ）を設定します。

---

2. デフォルトゲートウェイ（GW）の設定をしない

• 外部ネットワークにパケットを送信するにはデフォルトゲートウェイが必要です。デフォルトゲートウェイを設定しなければ、LAN内の通信は可能ですが、インターネットへの通信は不可能になります。
• TCP/IP設定でゲートウェイの項目を空白にすることで、LAN外への通信がブロックされます。

---

3. ルーターでアクセス制限を設定する

• 上記の設定に加えて、ルーターやファイアウォールでIPアドレスやMACアドレスを基にアクセス制限を設定することで、より安全に制御が可能です。
• 例えば、特定のPCに対して「LAN内通信のみ許可し、WAN（インターネット）への通信はブロックする」というルールを追加します。

---

4. プロキシサーバーを利用する

• LAN内部でプロキシサーバを使用している場合は、対象のパソコンからプロキシサーバにアクセスできないように設定する必要があります。

DNSの設定

DNSとは？

DNS（Domain Name System）は、ドメイン名（例: www.example.com）をIPアドレス（例: 93.184.216.34）に変換する仕組みです。通常、インターネットを利用するアプリケーション（ブラウザなど）はこのDNSを使って通信先を特定します。

DNSサーバーを設定しない場合、パソコンはドメイン名を解決できないため、ドメイン名を使った外部アクセスができなくなります。

---

設定方法

以下の手順で、DNSサーバーを設定しないようにできます。

1. DHCPを使用している場合

• ネットワーク設定で、該当するPCだけ手動でIPアドレスを設定します（静的IP設定）。
• DNSサーバー欄を空欄にするか、不適切なアドレス（例: 存在しない192.168.0.99など）を入力します。

2. 手動でIPアドレスを設定する場合

• 以下のように設定します：
  • IPアドレス: 192.168.1.x（利用中のLAN内で未使用のアドレス）
  • サブネットマスク: 255.255.255.0
  • デフォルトゲートウェイ: 必要であれば設定（インターネットに接続しないなら空欄でも可）
  • DNSサーバー: 空欄、もしくは適当な無効な値（例: 0.0.0.0）
• この設定を行うことで、LAN内でIPアドレスを用いた通信（例: ファイル共有やプリンタ接続）は可能ですが、ドメイン名を使った通信はできなくなります。

3. ネットワーク設定の場所

• Windowsの場合：
  1. [コントロール パネル] → [ネットワークと共有センター] → [アダプターの設定の変更] を開きます。
  2. 使用しているネットワークアダプターを右クリックして [プロパティ] を選択。
  3. [インターネット プロトコル バージョン 4 (TCP/IPv4)] を選択し、[プロパティ] をクリック。
  4. [次のDNSサーバーのアドレスを使う] を選択して、空欄または無効なアドレスを入力。
• macOSの場合：
  1. [システム設定] → [ネットワーク] を開きます。
  2. 使用中のネットワークインターフェースを選択し、[詳細設定] をクリック。
  3. [DNS] タブで、リスト内のDNSアドレスを削除。

---

DNSを設定しない場合の挙動

• ドメイン名を使う通信（例: www.example.com）が失敗： ブラウザでウェブサイトにアクセスしようとすると、「DNSサーバーが応答していない」などのエラーが表示されます。
• IPアドレスを直接指定する通信は可能： 外部ネットワークのIPアドレスを直接指定すれば、通信が可能な場合があります（例: http://93.184.216.34）。
  • 対策：デフォルトゲートウェイを設定しないか、ルーターでフィルタリングを設定すると、これも制限できます。

---

注意事項

• 完全なセキュリティ対策にはならない： パソコンの管理者権限を持つユーザーがDNS設定を変更すれば、外部ネットワークにアクセスできる可能性があります。
• 追加のフィルタリングを推奨： ルーターやファイアウォールを使って、該当PCの外部IPへの通信をブロックすると、より安全です。

この設定を実施することで、LAN内部だけで使いたいPCをインターネットから切り離すことができます。

GWの設定

デフォルトゲートウェイとは？

デフォルトゲートウェイは、PCがローカルネットワーク（LAN）外のネットワーク（通常はインターネット）に通信を送る際に経由するルーターのIPアドレスです。

• デフォルトゲートウェイを設定しない場合、LAN内の通信は可能ですが、LAN外（インターネットなど）への通信経路がなくなるため、外部ネットワークに接続できません。

---

設定方法

デフォルトゲートウェイを設定しない方法を具体的に説明します。

1. DHCPを使わない（静的IP設定に切り替える）

• DHCPサーバーは、IPアドレス、サブネットマスク、デフォルトゲートウェイ、DNSなどの設定を自動的にPCに配布します。デフォルトゲートウェイを指定しないためには、DHCPを使用せず、手動でIP設定を行います。

例: 静的IP設定

• IPアドレス: 192.168.1.100（LAN内で未使用のアドレス）
• サブネットマスク: 255.255.255.0
• デフォルトゲートウェイ: 空欄または無効な値（例: 0.0.0.0）
• DNSサーバー: 必要に応じて設定（ローカルのDNSリゾルバを使う場合のみ）。

2. ネットワーク設定の場所

• Windowsの場合：
  1. [コントロール パネル] → [ネットワークと共有センター] → [アダプターの設定の変更] を開く。
  2. 使用中のネットワークアダプターを右クリックして [プロパティ] を選択。
  3. [インターネット プロトコル バージョン 4 (TCP/IPv4)] を選択し、[プロパティ] をクリック。
  4. [次のIPアドレスを使う] を選択し、デフォルトゲートウェイを空欄に設定。
• macOSの場合：
  1. [システム設定] → [ネットワーク] を開く。
  2. 使用中のネットワークインターフェースを選択し、[詳細設定] をクリック。
  3. [TCP/IP] タブで、ゲートウェイ欄を空欄にする。

---

デフォルトゲートウェイを設定しない場合の挙動

1. LAN内通信は可能：
   • 同じネットワーク内（例: 同じサブネット内の他のPCやプリンタ）との通信は問題なく行えます。
   • 例: 192.168.1.101のPCにPingを送る、LAN内の共有フォルダにアクセスするなど。
2. インターネット通信は不可：
   • インターネット上のIPアドレスに直接アクセスしても通信が成立しません。
   • 例: 8.8.8.8（Google Public DNSサーバー）にPingを送ると失敗します。
3. 特定の例外：
   • ローカルネットワーク内でプロキシサーバーを使用している場合、プロキシを経由して外部ネットワークにアクセスできる可能性があります。この場合、プロキシサーバーへのアクセスを制限する追加設定が必要です。

---

応用設定：特定のサブネットだけアクセス可能にする

• ルーティングテーブルをカスタマイズ： デフォルトゲートウェイを設定しない代わりに、特定のサブネットへのルートを手動で追加することもできます。
  • 例: route add 192.168.2.0 mask 255.255.255.0 192.168.1.1
    • このコマンドにより、192.168.2.xネットワークへの通信は192.168.1.1を経由するように指定できます。
  • ルートの確認と管理は、Windowsならroute print、Linuxならip routeコマンドで行います。

---

追加のセキュリティ対策

• ルーターのフィルタリング機能：
  • ルーターで特定のPCのMACアドレスやIPアドレスを基に、WAN（外部ネットワーク）への通信をブロックする設定を行うと、より安全にインターネット接続を防ぐことができます。
• 物理的な分離：
  • ネットワークをVLANなどで分離し、インターネット接続を必要としないデバイスが物理的に外部ネットワークにアクセスできないようにするのも効果的です。

---

注意事項

• 管理者権限がある場合のリスク： ユーザーが管理者権限を持っている場合、自分でデフォルトゲートウェイを設定してインターネットに接続する可能性があります。この場合、ネットワークレベルでの制限が必要です。

ルーターでアクセス制限

ルーターでアクセス制限を設定することで、特定のパソコンやデバイスがインターネットに接続するのを制限できます。この方法は、ネットワーク全体で一元的に管理でき、ユーザーがローカル設定を変更しても影響を受けにくい点で有効です。

以下、ルーターを使ったアクセス制限の具体的な方法を詳しく説明します。

---

アクセス制限の主な方法

1. MACアドレスによるフィルタリング

• MACアドレス（各デバイスに一意の物理アドレス）を基に、特定のデバイスの通信を許可または拒否します。

手順：

1. ルーターの管理画面にアクセスします（通常、ブラウザでルーターのIPアドレスにアクセスします。例: 192.168.1.1）。
2. 「MACアドレスフィルタリング」または「アクセス制限」設定を開きます。
3. 制限をかけたいデバイスのMACアドレスを登録します。
   • MACアドレスは、対象デバイスのネットワーク設定やコマンド（例: ipconfig /all [Windows], ifconfig [Linux/macOS]）で確認可能です。
4. 「ブロック（拒否）」を選択し、設定を保存します。

利点：

• 非常に簡単で確実。
• 個別のデバイスごとに制御できる。

注意点：

• MACアドレスは偽装可能なため、高度なセキュリティが必要な場合には別の方法を併用するのがおすすめです。

---

2. IPアドレスによるフィルタリング

• 特定のIPアドレス（または範囲）を基に通信を制限します。

手順：

1. ルーターの管理画面で「IPフィルタリング」または「ファイアウォール」設定を開きます。
2. 制限をかけたいデバイスに固定IPアドレスを割り当てます（手動で設定するか、ルーターのDHCPで固定IPを予約）。
3. 制限対象のIPアドレスを指定し、インターネットへの通信を拒否するルールを作成します。
   • 例: 192.168.1.100のデバイスを外部通信からブロック。
4. 設定を保存して適用します。

利点：

• 制限が柔軟で、範囲指定も可能。

注意点：

• DHCPで自動的にIPアドレスが変更されないように、固定IPを使用する必要があります。

---

3. タイムスケジュール制限

• デバイスのインターネット接続を特定の時間帯だけ許可・拒否します。

手順：

1. ルーターの管理画面で「スケジュール設定」または「時間制御」オプションを探します。
2. 制限をかけたいデバイスをMACアドレスまたはIPアドレスで指定します。
3. 許可・拒否する時間帯を設定します（例: 平日9:00～17:00は接続禁止）。
4. 設定を保存して適用します。

利点：

• 時間帯に応じた柔軟な制御が可能。

---

4. プロトコルやポートの制限

• 特定の通信プロトコル（HTTP, FTP, SSHなど）やポート番号（80, 443など）を基に制限します。

手順：

1. ルーターの管理画面で「ポートフィルタリング」または「ファイアウォール」設定を開きます。
2. 制限対象のプロトコル（TCP/UDP）やポート番号を指定します。
   • 例: ポート80（HTTP）をブロックしてウェブブラウジングを禁止。
3. 必要に応じて、対象デバイスをMACアドレスまたはIPアドレスで指定します。
4. 設定を保存して適用します。

利点：

• 特定の通信だけをピンポイントで制限可能。

注意点：

• 高度な設定が必要な場合があるため、利用シナリオに応じた知識が求められます。

---

5. VLANを利用した分離

• VLAN（Virtual LAN）を利用してネットワークを物理的・論理的に分離します。
• インターネットに接続するネットワークと、LAN専用ネットワークを分けることで、物理的な制約を強化できます。

手順：

1. ルーターでVLAN機能を有効化し、ネットワークをセグメントに分割します。
2. 特定のデバイスをLAN専用VLANに配置し、そのVLANには外部ネットワークへのルートを設定しないようにします。

利点：

• 高度なセキュリティを提供。
• 物理的な分離に近い効果を得られる。

---

注意事項と補足

• 管理画面のアクセス方法：
  • ルーターの設定は、通常ブラウザからアクセスします。デフォルトの管理IPアドレスとログイン情報（初期設定のID/パスワード）は、ルーターのマニュアルに記載されています。
  • セキュリティのため、初期パスワードは必ず変更してください。
• ルーターの種類による違い：
  • 各メーカー（例: バッファロー、NEC、TP-Link、Cisco）によって設定方法や用語が異なります。マニュアルを参照して、具体的な操作を確認してください。
• 高度な設定：
  • 社内や業務用で利用する場合、UTM（統合脅威管理）や専用のファイアウォール機器を導入することで、さらに強力な制御が可能です。

プロキシサーバーの利用

プロキシ（Proxy）サーバーを利用する場合の注意点を詳しく説明します。プロキシは、ネットワーク通信を中継するサーバーで、LAN内のPCが直接外部ネットワークに接続する代わりに、プロキシサーバーを経由して通信を行う仕組みです。この仕組みを利用する際には、以下のようなポイントを考慮する必要があります。

---

プロキシ利用時の注意点

1. セキュリティに関する注意

• 通信の監視： プロキシサーバーは、すべての通信を中継します。そのため、プロキシ管理者が通信内容を監視することが可能です。機密情報を送信する際には注意が必要です。
• HTTPS対応： プロキシがHTTPS通信を適切に処理できるかを確認してください。不適切な設定の場合、SSL/TLS暗号化が解除され、通信の安全性が低下する可能性があります。
• 認証情報の漏洩： プロキシ経由の通信で、ユーザーの認証情報（ID/パスワード）が漏洩しないように、セキュアな設定を行う必要があります。

---

2. プロキシ設定に関する注意

• 正しい設定： クライアントPCでプロキシ設定を行う際、IPアドレス、ポート番号などを正確に設定する必要があります。不正確な設定では通信が失敗します。
• 自動プロキシ設定（WPAD）： 大規模なネットワークでは、WPAD（Web Proxy Auto-Discovery Protocol）を利用してプロキシ設定を自動化できますが、不適切な設定はセキュリティリスクを引き起こします。
• 例外設定： ローカルネットワークのリソース（例: ファイル共有サーバーやプリンタ）へのアクセスが必要な場合、プロキシを経由しない例外設定を行う必要があります。

---

3. ネットワークのパフォーマンス

• プロキシサーバーの負荷： 多数のクライアントがプロキシサーバーを利用すると、サーバーの処理能力が限界に達し、ネットワークのパフォーマンスが低下する可能性があります。高性能なハードウェアや適切な負荷分散の導入を検討してください。
• キャッシュの影響： プロキシサーバーは、Webコンテンツをキャッシュしてパフォーマンスを向上させる機能を持つことがありますが、キャッシュが古くなると情報が正確でなくなる場合があります。

---

4. ログ管理とプライバシー

• 通信ログの保管： プロキシサーバーは、通信ログ（アクセス履歴）を記録する機能があります。これはトラブルシューティングやセキュリティ対策に役立ちますが、適切に管理しないとプライバシー侵害の原因となる可能性があります。
• ログの保管期間： 必要以上に長期間ログを保存しないようにし、法律や規則に従って適切に削除するポリシーを設けましょう。

---

5. プロキシの種類と設定

プロキシにはさまざまな種類があり、それぞれ注意点が異なります。

1) フォワードプロキシ：

• クライアントからのリクエストを外部サーバーに転送するプロキシ。
• 注意点：クライアントPCがプロキシを利用するよう正しく設定する必要があります。

2) リバースプロキシ：

• 外部からのリクエストを内部サーバーに転送するプロキシ。
• 注意点：リバースプロキシを設定する際、サーバーのセキュリティを適切に強化する必要があります。

3) トランスペアレントプロキシ：

• クライアントにプロキシ設定を意識させず、自動的に通信を中継するプロキシ。
• 注意点：トランスペアレントプロキシを使用する場合、ユーザーに適切な通知を行い、暗号化通信に対応する設定を行うことが重要です。

---

6. プロキシの使用制限

• 不正利用の防止： プロキシサーバーが不正利用されないように、アクセス制限や認証（例: ID/パスワード）を設定してください。
• アクセス許可リスト： プロキシを利用できるクライアントのIPアドレスやMACアドレスを制限することで、不正アクセスを防ぐことができます。

---

7. DNSの扱い

• プロキシ経由のDNS解決： 一部のプロキシはDNSクエリを中継する機能を持っていますが、これが正しく設定されていないと、名前解決が失敗して通信ができなくなる可能性があります。
• DNSリークの防止： クライアントが直接外部DNSサーバーにクエリを送らないようにすることで、セキュリティを向上させます。

---

8. 業務利用時の法的側面

• アクセス制限と法律： 業務環境で従業員のインターネット利用を制限する場合、労働基準法やプライバシー保護法に基づいた運用が求められる場合があります。
• コンプライアンス： ログ管理や通信内容の監視は、法的要件に従って行い、不必要なプライバシー侵害を避けるべきです。

まとめ

プロキシを利用する場合は、セキュリティ、設定の正確性、ネットワークパフォーマンス、法的側面など、多方面にわたる注意が必要です。利用するプロキシサーバーの機能やネットワーク構成に応じて、適切な設定と運用を行いましょう。

外部から遮断しているPCへアクセスされる可能性について

LAN内の特定PCを外部ネットワークから遮断した場合でも、外部からそのPCへのアクセスの可能性を完全に排除するわけではありません。以下のポイントを考慮する必要があります。

---

外部からアクセスされる可能性がある場合

1. ネットワーク構成に問題がある場合
   • ルーターやスイッチの設定が適切でない場合、外部からの通信がLAN内部に侵入する可能性があります。
   • 対策：ルーターのファイアウォール設定を有効にし、外部からの不必要な通信をすべてブロックしてください。
2. 未使用のポートが開放されている場合
   • 適切な設定を行わず、ルーターやPC上で不要なポートが開放されていると、外部から攻撃される可能性があります。
   • 対策：ルーターやPCのファイアウォールで未使用のポートを閉じる設定を行いましょう。
3. 他のデバイスが脆弱な場合
   • 同じLAN内の他のデバイスが外部から攻撃され、そのデバイスを経由して内部のPCが狙われるケースがあります（横移動攻撃）。
   • 対策：LAN内のすべてのデバイスでセキュリティ対策（OSやソフトウェアのアップデート、強力なパスワード設定など）を実施してください。
4. リモートアクセスツールが誤設定されている場合
   • TeamViewerやリモートデスクトップのようなツールが誤ってインターネット経由で接続を許可している場合、外部からのアクセスが可能になります。
   • 対策：リモートアクセスツールの設定を確認し、必要な場合のみ利用するようにしてください。
5. マルウェアやウイルスの感染
   • 外部ネットワークへの接続がないPCでも、USBメモリなどの物理的な接続を介してマルウェアに感染し、そのマルウェアが外部と通信する可能性があります。
   • 対策：ウイルス対策ソフトを導入し、定期的にスキャンを行いましょう。

---

外部からのアクセスを防ぐための追加の対策

1. IPフィルタリング
   • ルーターで外部IPからの通信をフィルタリングし、LAN内への侵入を防ぎます。
2. 物理的なネットワーク分離（VLAN構築）
   • VLAN（仮想LAN）を利用して、特定のPCを物理的に他のデバイスから分離します。これにより、不正アクセスや内部からの攻撃リスクを大幅に低減できます。
3. セグメント間の通信を制限
   • ネットワークスイッチでACL（アクセス制御リスト）を設定し、特定のセグメント間の通信を遮断します。
4. ファイアウォールの設定強化
   • ルーターや専用のファイアウォールデバイスを用いて、特定PCへのすべての外部アクセスをブロックします。
5. ログ監視
   • ルーターやPCのログを定期的に監視し、不審な通信が発生していないかを確認します。

---

結論

外部ネットワークへの接続を遮断しても、完全にリスクがゼロになるわけではありません。他のLAN内デバイスや設定ミス、物理的な侵入などが脆弱性となる可能性があります。総合的なセキュリティ対策を講じることで、リスクを最小限に抑えることができます。