０ｏ０ｄグッ

職員室から情報教室のネットワークに接続し，インターネットを利用しようと考えてきます。どのようなことに注意すればよいでしょうか？

　インターネット等に接続するために，教職員ネットワークを接続した場合，生徒用セグメントと同一セグメントになってしまうため，生徒用端末からも教師用のサーバや教師用端末にアクセスが可能になってしまします。
　このため，テスト問題や成績表など，生徒から見られてはいけない重要な情報が収められている場合，セキュリティ上問題が生じることになります。

●対策

対策としては，ルータやファイアウォール等でネットワークのセグメントを分ける方法と，VLAN機能を有するHUBを利用する方法などが考えられます。

（１）「生徒用―教職員」セグメントを「FloppyFW」などにより切り分けた場合

　教員用セグメントのゲートウェイとして，「FloppyFW」や「ブロードバンドルータ」を置くことにより，生徒用ネットワークセグメントと教員用ネットワークセグメントが切り離され，別ネットワークにすることができます。
　通常，ネットワークのセグメントの分離は「ルータ」によって行いますが，「FloppyFW」の場合，IPマスカレード機能でアドレス変換を行うため，生徒用セグメントからはセッションを張ることはできません。

　　※下図では「FloppyFW」により，セグメントを分割していますが，「ブロードバンドルータ」でも同様に行うことができます。

（２）VLANにより，生徒用と教師用ネットワークセグメントを分ける場合

　VLAN対応のスイッチにより複数のネットワークセグメントを分割するものですが，VLANの機能によっては，任意のポートに接続された機器を複数のVLANグループに所属させることができます。

　下図の例では，生徒用情報教室を「VLAN1」，職員室を「VLAN2」，全校用サーバやルータを「VLAN3」に分割します。ただし，「VLAN3」については，VLAN1,2の両方に所属させることにより，情報教室からも職員室からもインターネットを利用でき，情報教室の生徒用端末からは職員室の教師用ネットワークにはアクセスできない環境が構築できます。