最終目的:現実的に運用できる、壊れても戻せる町工場のセキュリティ構成

20人規模町工場向け
セキュリティ設計ガイド

この文書は、専任情シスがいない製造業を前提に、IPA「中小企業の情報セキュリティ対策ガイドライン 第4.0版」の考え方へ沿ってまとめた実務向けの設計書です。 高価な製品を並べるのではなく、MFA、VPN更新、VLAN分離、そして「戻せるバックアップ」を中心に考えます。

守る MFA、端末管理、VPN更新で入口を固めます。
広げない 事務、製造、開発、NASをVLANで分けます。
戻せる NASとは別の「まもり蔵」で復旧力を持ちます。
町工場の共有データと復旧用バックアップを分けることを示すコミック風イラスト

1. 全体アーキテクチャ

まず会社の中を「同じ社内LAN」ではなく、役割の違う区画として見ます。事務PC、製造設備、開発PC、デザインMac、NAS、監視カメラ、来客Wi-Fiは、同じ危険度ではありません。 ランサムウェア対策では、入口を守るだけでなく、侵入後に横へ広がらない構造が重要です。

HTML図解:入口・分離・復旧

入口を守る
  • VPN MFA
  • SaaS MFA
  • 端末更新
広がりを止める
  • VLAN分離
  • 共有権限の最小化
  • 開発LANを隔離
戻せるようにする
  • まもり蔵
  • 世代管理
  • 復元試験
flowchart TB
  Internet["Internet / SaaS"] --> FW["Firewall / UTM
FortiGate or OPNsense"]
  FW --> VPN["VPN / ZTNA
MFA必須"]
  FW --> Guest["VLAN40 来客Wi-Fi
Internetのみ"]
  FW --> Office["VLAN10 事務系
Windows / SaaS"]
  FW --> Factory["VLAN20 製造設備系
CAD/CAM / 加工機"]
  FW --> Dev["VLAN30 開発系
Linux / macOS / Git / Docker"]
  FW --> Camera["VLAN50 監視カメラ
NVR / Camera"]
  FW --> Server["VLAN60 サーバ/NAS
認証 / NAS / ログ"]
  Server --> NAS["みんな蔵
共有NAS"]
  NAS --> Backup["控え蔵
Linux + restic"]
  Backup --> Offsite["逃がし蔵
外部退避 / クラウド / オフライン"]

ASCII構成図

                         Internet
                            |
                     [Firewall / UTM]
                   FortiGate / OPNsense
                            |
              +-------------+-------------+
              |                           |
          [VPN/ZTNA]                 [Guest Wi-Fi]
       MFA必須 / 端末制御              Internetのみ
              |
   +----------+----------+----------------+----------------+
   |                     |                |                |
[VLAN10 事務]      [VLAN20 製造]   [VLAN30 開発]   [VLAN50 カメラ]
 Windows PC        CAD/CAM/設備     Linux/macOS     NVR/Camera
   |                     |                |                |
   +----------+----------+----------------+----------------+
              |
        [VLAN60 Server/NAS]
        みんな蔵 NAS / 認証 / ログ
              |
        read-only / pull
              |
        [まもり蔵 Backup]
        控え蔵 restic
              |
        offline / cloud / external
              |
        逃がし蔵 外部退避
Win

Windows現場系

現場・事務・CAD/CAMはWindows中心です。Defender、IntuneまたはLANSCOPE、標準ユーザー運用を基本にします。古いCAD端末は更新できない前提で隔離します。

Dev

Linux/macOS開発系

Git、Docker、SSH鍵があるため、便利な管理LANにしてはいけません。開発LANは危険領域として分離し、Secrets管理と構成管理を重視します。

Mac

デザイン系

macOSはMosyleやJamfで管理します。NASのデザイン共有へは必要な権限だけを付け、事務・製造・開発と権限を混ぜないことが重要です。

領域推奨構成考え方
共通認証基盤Microsoft Entra ID / Google Workspace / Okta / KeycloakOS統一よりID統一。退職者対応、MFA、権限管理を一箇所へ寄せます。
VPN/ZTNAFortiClient VPN、WireGuard、Cloudflare Zero Trust等古いVPNは侵入口になりやすいため、MFA必須で更新します。
NASSynology / QNAP / TrueNAS共有基盤です。バックアップではありません。
ログ監視Wazuh、syslog、FortiAnalyzer等最初はFirewall、VPN、NAS、認証、EDRのログに絞ります。
資産管理LANSCOPE、Snipe-IT、GLPI誰の、どの端末が、どこにあるかを台帳化します。

2. VLAN設計

VLANは「社内を小部屋に分ける」仕組みです。感染したPCが出ても、工場全体へ広がらないようにします。 20人規模では、細かすぎる分離より、運用できる6区画から始めるのが現実的です。

VLAN対象役割アクセス制御
VLAN10事務系会計、受発注、メール、SaaS利用NASの事務共有のみ許可。製造設備へ原則不可。
VLAN20製造設備系CAD/CAM端末、加工機、更新困難なWindowsInternet制限。NASの必要フォルダのみ。開発LANから直接アクセス不可。
VLAN30開発系Linux/macOS、Git、Docker、検証環境NASは開発共有のみ。事務・製造へ原則不可。管理通信は限定。
VLAN40来客Wi-Fi来客端末、私物端末Internetのみ。社内LAN完全遮断。
VLAN50監視カメラカメラ、NVRNVR管理端末のみ許可。Internet原則不可。
VLAN60サーバ/NASNAS、認証、ログ、バックアップ連携管理者端末と必要通信のみ許可。
開発LANは危険領域です。 Docker、SSH鍵、検証用サーバ、Gitの認証情報があるため、侵害された場合の横展開力が高くなります。便利だからといって製造設備やNAS管理画面へ広く通してはいけません。

3. バックアップ設計

ランサムウェア対策の中心は、最後に戻せることです。NASにファイルを置いているだけでは、NASごと暗号化されたときに戻れません。 共有する場所と、復旧する場所を分けるのが基本です。

3コピー

作業データ、バックアップ、外部退避の3つを持ちます。

2種類の媒体

NASだけに寄せず、外部HDDやクラウドも使います。

1つは外部

社内全滅に備えて、別拠点やクラウドへ逃がします。

復元試験

半年ごとに実際に戻します。戻せないものはバックアップではありません。

考え方実装
NASは共有基盤でありバックアップではないNASは「みんな蔵」。作業用の棚として扱います。
共有系と復旧系を分離NASとバックアップサーバは別権限・別ネットワークにします。
pull型バックアップバックアップ側からNASを読みに行きます。NASからバックアップ先へ書かせません。
read-only mountバックアップサーバはNASを読み取り専用でマウントします。
世代管理日次14世代、週次8世代、月次12世代などを保持します。
immutableの考え方削除・改ざんされにくい保存先を用意します。S3 Object Lock等も候補です。
オフライン/クラウド退避USB HDDローテーション、別拠点、S3互換クラウドを使います。
復元試験半年ごとに特定フォルダを別環境へ復元し、開けるか確認します。

4. 「まもり蔵」構成

「まもり蔵」は、町工場の経営者にも説明しやすいバックアップ全体の呼び名です。 専門用語だけでは運用が続かないため、社内で覚えやすい名前を付けます。

名称意味実体経営者向けの説明
まもり蔵全体バックアップシステム設計全体会社のデータを守り、戻すための仕組み全体。
みんな蔵共有NASSynology / QNAP / TrueNAS等皆で使う作業棚。ここだけでは守れません。
控え蔵resticバックアップLinux + restic読み取り専用で写しを取る鍵付き倉庫。
逃がし蔵外部退避USB HDD / クラウド / 別拠点火事や全社感染に備えた別場所の控え。
 
flowchart LR
  Users["社員PC
事務・製造・開発"] --> NAS["みんな蔵
共有NAS"]
  Backup["控え蔵
Linux + restic"] -- "read-only mount / pull" --> NAS
  Backup --> Repo["世代管理リポジトリ
日次・週次・月次"]
  Repo --> Offsite["逃がし蔵
USB / Cloud / 別拠点"]
  Restore["復元試験
半年ごと"] --> Repo
まもり蔵の肝は、NASがバックアップ先へ書けないことです。感染したPCがNASを暗号化しても、控え蔵と逃がし蔵まで同じ権限で壊されないようにします。

restic運用例

# 読み取り専用でマウントしたNASをバックアップ
restic -r /backup/restic-repo backup /mnt/minna-gura

# 世代管理
restic forget --keep-daily 14 --keep-weekly 8 --keep-monthly 12 --prune

# バックアップ健全性確認
restic check

# 復元試験
restic restore latest --target /restore-test

5. 推奨OSS/製品

OSSを活用しつつも、20人規模では「安いが運用が重い」構成は避けます。入口・認証・端末管理のように止まると困る部分は、有償製品のほうが総コストが低いことがあります。

カテゴリOSS有償中小企業向け現実解
FirewallOPNsense, pfSense CEFortiGate, SophosFortiGate小型機。保守込みで入口を安定化。
VPN/ZTNAWireGuard, HeadscaleCloudflare Zero Trust, FortiClient既存VPN更新 + MFA。段階的にZTNAへ。
MFAprivacyIDEADuo, Okta, Microsoft Entra IDMicrosoft/Google/DuoのMFAを優先。
ID管理KeycloakEntra ID, Okta, Google WorkspaceSaaS中心ならEntra IDまたはGoogle。
MDMFleet, MunkiIntune, Jamf, MosyleWindowsはIntune、MacはMosyle/Jamf。
EDRWazuh agentDefender for Business, CrowdStrikeDefender for Businessが現実的。
SIEMWazuh, OpenSearchMicrosoft Sentinel, Splunk最初はWazuh。必要時に有償へ。
ログ監視Wazuh, syslog-ngFortiAnalyzerFirewall/VPN/NAS/認証ログから開始。
バックアップrestic, Borg, KopiaAcronis, VeeamLinux + restic + 外部退避。
Secrets管理Vault, SOPS1Password, Bitwarden Enterpriseまず1Password/Bitwarden。Vaultは必要時。
NASTrueNASSynology, QNAPSynology + 別バックアップ。
VLAN/Wi-FiOpenWrtUniFi, Aruba, FortinetUniFiまたはFortiGate連携。
コンテナセキュリティTrivy, GrypeSnyk, AquaTrivyをCIと定期実行。
資産管理Snipe-IT, GLPILANSCOPE, SKYSEALANSCOPEまたはSnipe-IT。

6. 優先順位

いきなり全部はできません。予算と人手が限られる場合は、被害額を大きく下げるものから順番に入れます。

項目優先度理由最初の一手
MFASVPN/SaaS/Git侵害の入口を大きく減らします。管理者、VPN、SaaS、Gitから強制。
VPN更新S古いVPNは侵入口になりやすいです。機器更新、MFA、管理画面の外部公開停止。
BackupSランサム被害時の事業継続の最後の砦です。まもり蔵構成で復元試験まで行う。
VLAN分離A侵害後の横展開を止めます。来客Wi-Fi、製造、NASから分離。
EDRA端末侵害の検知と封じ込めを行います。Defender for Businessから開始。
資産管理B古い端末・野良端末を減らす基礎です。端末台帳を作り、月次更新。
ログ監視B異常の早期発見に必要です。Firewall、VPN、NAS、認証ログを集約。
SIEMC20人規模では高価なSIEMを最初に入れる必要は薄いです。Wazuhなどで最小開始。

7. ありがちな事故

事故は特殊な会社だけで起きるものではありません。小さな設定ミス、古い機器、誰でも書ける共有フォルダから始まります。

古いVPN侵害

古いVPN装置の脆弱性や漏えいした認証情報から侵入されます。VPNは便利な玄関なので、MFAなしのまま放置しないことが重要です。

NAS暗号化

感染PCがSMB共有へ書き込み、共有フォルダ全体を暗号化します。NASスナップショットと、別系統バックアップの両方が必要です。

開発LANからの横展開

SSH鍵、Docker、検証サーバ、Git認証情報が足場になります。開発LANは強い権限を持ちやすいため、分離と鍵管理が必須です。

SMB共有事故

Everyoneフル権限の共有が残り、退職者や不要な端末から重要ファイルへアクセスできる状態になります。月次で権限棚卸しを行います。

古いCAD端末

更新できないWindowsや古いCAD/CAM端末が感染入口になります。Internetを制限し、製造VLANへ隔離します。

バックアップ未検証

バックアップしているつもりでも、復元できない、途中までしかない、権限が戻らないことがあります。半年ごとの復元試験が必要です。

8. 運用サイクル

セキュリティは買って終わりではありません。20人規模では、毎日長時間見る運用ではなく、短い確認を定例化するほうが続きます。

頻度作業担当の考え方
日次バックアップ成功確認、EDR重大アラート確認、VPN失敗ログ確認5〜10分で確認。異常だけ記録。
週次Windows Update状況、NAS容量、バックアップ世代、不要アカウント確認現場責任者と兼任管理者で確認。
月次資産台帳更新、共有権限棚卸し、Firewall/VPN更新確認、Trivyスキャン外部保守会社と一緒に見ると属人化しにくいです。
半年ごと復元試験、VPN/管理者権限レビュー、非常時連絡訓練、古い端末の隔離確認経営者も結果を確認します。

9. 技術スタックの方向性

Windows現場 Defender / Intune / LANSCOPE / FortiGate

現場の安定性を優先します。標準ユーザー運用、更新管理、古い端末の隔離が要点です。

Mac Mosyle / Jamf / Okta / Duo

デザイナ用MacはMDMで最低限の設定と紛失対策を入れ、SaaS認証はMFA必須にします。

Linux OSS Ansible / Keycloak / Wazuh / restic / Vault / WireGuard / Trivy

OSSは強力ですが、設定が散らばると危険です。構成管理品質がセキュリティ品質になります。

10. 重要方針

高価なSIEMよりMFAとバックアップ

最初に買うべきものは、ログ分析基盤よりも入口を閉じるMFAと、戻れるバックアップです。

NASはバックアップではない

NASは皆で使う棚です。棚が壊れたときに戻すための別倉庫が必要です。

OS統一よりID統一

Windows、macOS、Linuxが混在していても、認証と権限を統一すれば管理できます。

VLAN分離が重要

侵入をゼロにできなくても、広がりを止めれば被害は小さくできます。

開発LANは危険領域

SSH鍵、Docker、Gitがあるため、社内で最も横展開力を持つ区画の一つです。

Backupは戻せることが本質

保存成功だけでは不十分です。復元試験までやって初めてバックアップです。

ランサム対策では分離が最重要

共有、復旧、外部退避を同じ権限で触れるようにしてはいけません。

Linux OSS環境は構成管理が命

Ansibleなどで設定を再現可能にし、個人の手作業に依存しない状態を作ります。

11. 導入ロードマップ

最初から理想構成を完成させるより、3か月単位で事故に強くしていくほうが現実的です。

時期やること成果
1か月目MFA強制、VPN棚卸し、共有権限確認、資産台帳の初版作成入口と権限の大穴を塞ぐ。
2〜3か月目まもり蔵構築、バックアップ世代管理、復元試験、来客Wi-Fi分離壊れても戻せる最低ラインを作る。
4〜6か月目VLAN本格分離、EDR導入、ログ集約、古いCAD端末の隔離侵入後に広がりにくい構成へ。
7か月目以降Wazuh/監視改善、Secrets管理、Trivy、Ansible整備開発環境とOSS運用の品質を上げる。

参考資料