税理士事務所や社労士事務所、社員20名前後の中小企業で、「自社内に小型サーバーを設置してファイル共有や業務効率化に役立てたい」という需要が高まっています。情報を外に出さない社内専用AI(ローカルLLM)を稼働させる目的での導入も増えており、こうした背景から、ネットワーク設計の相談を受ける機会が増えました。
しかし、小型サーバーをネットワークケーブルに接続して電源を入れるだけでは、顧客情報がインターネットに漏れるリスクが生じます。その主な原因は「セキュリティ境界の設計をしないまま接続してしまうこと」です。
この記事では、小型サーバーを会社のネットワークに導入する際のセキュリティ境界設計について、専門用語をかみ砕いて解説します。IT専任担当者がいない事務所や、兼任で情報システムを担う立場の方でも、「何を業者に確認すればよいか」「自社でできる最低限の対策は何か」がわかる内容を目指しています。
「セキュリティ境界」とは何か:専門家に相談する前に押さえる基本
セキュリティ境界とは、自社のネットワークを「安全な内側」と「危険な外側(インターネット)」に分ける仕切りのことです。家に例えると玄関の鍵に相当します。ただし会社のネットワークには「玄関」が複数あり、それぞれに適切な鍵をかけなければなりません。
小型サーバーを導入する際にこの境界を設計しないと、次のような問題が起きます。
・意図せぬ外部公開: 設定ミスにより、サーバーがインターネットから直接アクセスできる状態になり、顧客データが流出する危険がある
・ウイルス感染の横広がり: 社員のPCがマルウェアに感染した際、サーバーへ直接アクセスできる構成だと被害がネットワーク全体に波及する
・来客回線からの侵入: ゲスト用のWi-Fiと業務用ネットワークが分離されていない場合、来客者が社内サーバーにアクセスできてしまう事態が起きる
これらを「ウイルス対策ソフトを入れれば解決できる」と考えがちですが、ウイルス対策ソフトは「侵入後の対処」であり、「侵入経路をふさぐ」設計とは役割が根本的に異なります。
VLANとは何か
セキュリティ境界を実現する代表的な技術がVLANです。VLAN(仮想ローカルエリアネットワーク)は、1台のスイッチを使いながら論理的にネットワークを複数のグループに分割する仕組みです。物理的に別々のケーブルを引かなくても、「業務端末用」「サーバー専用」「来客Wi-Fi用」のネットワークを分けることができます。社員10名~30名規模の事務所でも、VLAN対応のスイッチングハブ(1万5,000円~3万円程度)を1台追加するだけで設定できます。
DMZとはどういう場面で必要か
DMZ(非武装地帯)は、インターネットに向けて外部公開するサービスを置くための中間ゾーンです。顧客向けWebアプリや外部公開メールサーバーを運用する場合に使います。ただし、社内専用のファイルサーバーや社内専用AIといった「クローズド用途」では、DMZは通常不要です。外部公開を一切しない設計にすれば、境界設計はシンプルになり、運用負荷も下がります。士業事務所が初めて社内サーバーを導入する場面では、クローズド構成+VLANによる分離から始めることを推奨します。
小型サーバー導入で見落とされがちな3つのリスクポイント
セキュリティ境界の話をすると「すでにファイアウォールを入れているから大丈夫」という返答をいただくことがあります。しかし、ファイアウォールがあっても、その内側で発生する以下の3つのリスクは別途対策が必要です。
1. 初期設定のまま使い続けるデフォルトパスワード問題
小型サーバーには、出荷時に「admin / admin」「admin / password」などの共通の初期認証情報が設定されている機種があります。これを変更しないまま運用を始めると、インターネットを経由して外部から管理画面にログインされるリスクが生じます。
IPA(独立行政法人情報処理推進機構)が公表している「情報セキュリティ10大脅威2024」でも、設定不備を突いた攻撃は上位の脅威として挙げられています。特に小型サーバーは、大企業のIT部門が管理する機器と比べて初期設定変更が後回しになりやすく、注意が必要です。
対策は単純で、導入初日に管理画面のパスワードをランダムな16文字以上の文字列に変更することです。さらに、管理画面へのアクセス元を社内ネットワーク内のIPアドレスに限定すれば、外部からの不正ログイン試行を根本からふさぐことができます。業者に依頼する場合は「初期設定変更の作業が納品物に含まれているか」を必ず確認してください。
2. ソフトウェア未更新による既知の脆弱性
サーバーで動くOS(基本ソフト)やアプリケーションは、定期的なアップデートが必要です。古いバージョンには公開された脆弱性(セキュリティの穴)が残っており、攻撃者はそこを狙います。
LinuxベースのサーバーOSでは、月に1回程度のペースでセキュリティアップデートが配布されます。これを半年以上放置すると、既知の攻撃手法で侵入を許す確率が格段に上がります。「機器を入れたら終わり」ではなく、「継続的に維持する」という発想が必要です。導入を依頼する業者には「月次でのアップデート確認・適用を保守契約に含めてほしい」と明示的に伝えてください。
3. 内部アクセス権を設計しない「全員フルアクセス」状態
外部からの攻撃だけでなく、社内からの誤操作や内部不正も考慮に値します。「全社員が全フォルダを読み書きできる」状態では、退職した社員のIDが残ったままアクセス可能になるケースがあります。また、意図せず重要ファイルを上書きしてしまう事故も発生します。
アクセス権は「最小権限の原則」にのっとり、担当業務に必要な範囲のみに限定します。例えば、人事・給与フォルダは経営者と人事担当のみ、取引先情報は営業担当のみ、といった区分けです。これは業者に設計してもらうだけでなく、退職者が出るたびに即日アカウントを削除する運用ルールとセットで維持することが重要です。アカウント削除の手順を紙に書いて事務所内に掲示しておくだけで、抜け漏れを大幅に減らせます。
小型サーバーのセキュリティ境界を設計する4つのステップ
ここでは士業事務所や社員20名前後の中小企業を想定した、現実的な設計手順を解説します。業者に見積もりを依頼する前の確認事項としても活用してください。
ステップ1:用途を明確にする(社内専用か、外部アクセスが必要か)
まず、小型サーバーの用途を整理します。用途が決まると、必要なセキュリティ設計の規模が見えてきます。
社内ファイルサーバー、社内専用AI、社内グループウェアなど「社内からのみアクセスする」用途であれば、インターネットからの通信を完全に遮断できます。これをクローズド構成と呼びます。設計がシンプルで、導入・運用コストを抑えられるため、初めての社内サーバー導入にはこの構成を推奨します。
一方、「外出先からVPNで接続してファイルにアクセスしたい」「顧客向けポータルを自社で運営したい」といった外部アクセスを伴う用途では、設計が複雑になります。外部への開口部が生まれるため、ファイアウォールの詳細設定とVPN機器の適切な管理が追加で必要になります。
ステップ2:現状のネットワーク構成をルーター・スイッチで把握する
現在のネットワーク環境を確認します。「ルーターは何台あるか」「ゲスト用Wi-Fiは業務用ネットワークと分離されているか」「有線LANポートは何口使えるか」を整理してください。
多くの小規模事務所では、プロバイダから提供されたルーター1台にすべての機器がつながっている構成です。この場合、VLAN対応のビジネス向けスイッチングハブを追加することで、サーバー専用のネットワークセグメントを切り出せます。スイッチングハブの費用は1万5,000円~3万円が目安です(2026年時点)。現状の機器構成を業者に伝えることで、追加費用を正確に見積もってもらえます。
ステップ3:サーバーを専用セグメントに配置し、必要なポートだけ開放する
小型サーバーは、業務端末と同じネットワークに直接置かず、「サーバー専用セグメント」に配置します。業務PCとサーバーの間にルーターまたはファイアウォールを挟み、必要な通信(ポート)だけを許可します。
例えばファイルサーバーとして使う場合、ファイル共有用の通信だけを社内端末からのアクセスに限定して開放し、それ以外の通信はすべて拒否します。「デフォルトで全部開けて、必要なものだけ後から閉める」のではなく、「デフォルトで全部閉めて、必要なものだけ開ける」ホワイトリスト方式が基本です。業者に依頼する際は「ホワイトリスト方式で設定してもらえるか」と明示的に確認することをお勧めします。この一言があるだけで、業者の設計方針を確認でき、手抜き工事を防ぐ効果があります。
ステップ4:アクセスログを記録し、定期的に確認する仕組みを作る
サーバーへのアクセス記録(ログ)を残す設定を有効にします。万が一問題が起きたとき、ログがなければ原因を追えません。税務・労務・法律を扱う士業事務所では、クライアントから「情報管理体制を教えてほしい」と問われる場面があります。アクセスログは「適切に管理している」証拠としても機能します。
ログは最低3ヶ月分を保存する設定を推奨します。運用担当者が月1回、異常なアクセス(深夜の大量アクセス、知らないIPアドレスからの接続など)がないかを確認する習慣を組み込むことで、問題の早期発見が可能になります。確認作業は1回あたり30分程度が目安です。業者との保守契約にログ確認レポートの月次提出を盛り込むことで、担当者の負担をさらに軽減できます。
クラウドサービスと社内小型サーバーのセキュリティ比較
「クラウドサービスを使えばセキュリティは事業者に任せられるのでは?」という声があります。一方で「顧客情報をクラウドに置くのは守秘義務上、不安がある」という声も聞かれます。両者を比較した表を示します。
| 比較項目 | クラウドサービス(Box・OneDrive等) | 社内小型サーバー |
|---|---|---|
| 初期費用 | ほぼゼロ(アカウント作成のみ) | 機器代5万円~15万円+設定費 |
| 月額ランニング | 1ユーザー月1,000円~2,000円程度 | 電気代500円程度+保守委託費 |
| データの保管場所 | 海外含むデータセンター | 自社オフィス内 |
| 守秘義務との整合性 | 利用規約・処理委託契約の確認が必要 | データが外に出ない設計が可能 |
| セキュリティ基盤の管理 | クラウド事業者が管理 | 自社または保守委託先が管理 |
| 停電・障害リスク | データセンター側で冗長化済み | 自社で停電対策・バックアップが必要 |
| カスタマイズ性 | サービスの機能に依存 | 用途に応じた機能追加が可能 |
| 3年総コスト(10名規模) | 約36万円~72万円(クラウド費のみ) | 約25万円~40万円(機器+保守) |
士業事務所では、クライアントの個人情報・税務申告データ・労務情報を取り扱います。一部のクラウドサービスでは、利用規約上「データをサービス改善に使用する場合がある」と記載されているものがあります。守秘義務を負う業務において、クラウド事業者との処理委託契約を締結せずにデータをアップロードしている場合、法的リスクを伴う可能性があります。
社内小型サーバーは「管理が大変」というイメージがありますが、月次保守を業者に委託するモデルであれば、事務所側の運用負荷は限定的です。コスト面では、社員10名でクラウドストレージを全員が使う場合、年間12万円~24万円のランニングコストになります。社内サーバーは初期費用がかかりますが、3年以上継続すると総コストでクラウドを下回るケースが多くなります。守秘義務との整合性とランニングコストの両面から、社内サーバーを選択する士業事務所が増えている背景はここにあります。
よくある質問
Q1. 小型サーバーを導入すれば、クラウドサービスをすべて解約できますか?
必ずしもそうとは言えません。メールやビデオ会議など、クラウドが向いている用途と、ファイル管理や社内専用AIなど社内サーバーが適した用途を使い分けるのが現実的です。すべてを社内に移そうとすると、管理コストが想定以上に膨らみます。まずは「外に出したくないデータ」だけを社内サーバーに集約するところから始め、1年運用してから範囲を広げるかどうかを判断することを推奨します。
Q2. セキュリティ境界の設計は、どんな業者に依頼すればよいですか?
ネットワーク構築の実績がある中小企業向けITベンダーや、SMBエンジニアリングを専門とするエンジニアが現実的な選択肢です。大手SIerは中小規模では費用対効果が合わないケースが多く、費用が高額になります。見積もりを依頼する際は「VLAN設定の経験があるか」「導入後の月次保守契約はあるか」「過去の同規模事務所への導入事例を見せてもらえるか」の3点を必ず確認してください。
Q3. セキュリティ境界の設計にはどれくらい費用がかかりますか?
社員20名以下の事務所を前提とした標準構成(VLAN設定+ファイアウォール設定+アクセス権設計)であれば、設計・設定費用として5万円~15万円が目安です(2026年時点)。これに機器代(スイッチングハブ等)が加わります。月次保守は1万円~3万円程度で契約できるケースが多いです。費用の幅が大きいのは、既存ネットワーク機器の対応状況と業者の規模による差です。複数業者から見積もりを取り、作業内容の詳細を比較することをお勧めします。
Q4. テレワーク中でも社内サーバーにアクセスできますか?
VPN(仮想プライベートネットワーク)を設定することで、外出先から社内ネットワークへの安全な接続が可能です。ただし、VPNを設定すると外部への開口部が生まれるため、クローズド構成よりも設計と管理に注意が必要です。初期導入時にVPN要件も業者と一緒に整理することをお勧めします。VPN機器の費用は機能・性能によって異なりますが、小規模事務所向けであれば1万円~5万円程度の製品も存在します。
Q5. サーバーが壊れたときのデータ消失リスクはどう対策すればよいですか?
最低限、自動バックアップの仕組みを組み込む必要があります。具体的には「外付けHDDへの毎日自動バックアップ」と「クラウドストレージへの週次バックアップ」を組み合わせる二重化が標準的な構成です。バックアップが正常に動作しているかを月1回確認する運用フローを業者と合意しておくことが重要です。「バックアップを取っているつもりが実は動いていなかった」というケースは珍しくなく、定期確認を仕組みとして組み込むことで大きな損失を防げます。
導入前チェックリスト
小型サーバーをネットワークに接続する前に、以下の項目を確認してください。すべてに「はい」と答えられる状態になってから導入を進めることを推奨します。
・用途の明確化: 社内専用(クローズド)か、外部からのアクセスが必要かを決めている
・デフォルトパスワードの変更計画: 初日に管理画面の認証情報をランダムな16文字以上に変更する手順が決まっている
・ネットワーク分離の設計: 業務端末・サーバー・来客Wi-Fiを3セグメント以上に分けることを業者と確認した
・ホワイトリスト方式のファイアウォール: 「デフォルト全拒否・必要なポートのみ開放」という設定方針を業者と合意した
・アクセス権の設計: 部門・担当ごとに「読み取りのみ」「読み書き可」を分けた権限設計が存在する
・退職者アカウントの削除ルール: 退職発生時に即日アカウントを削除する運用フローが決まっている
・ログ記録の有効化: アクセスログを最低3ヶ月保存する設定が有効になっている
・月次アップデートの計画: ソフトウェアのアップデートを確認・適用する保守フローが業者と合意されている
・バックアップの二重化: 外付けHDDへの日次+クラウドへの週次バックアップが組み込まれている
・守秘義務との整合確認: 顧客データを扱う場合、データが自社外に出ない設計になっていることを確認した
まとめ
小型サーバーを会社のネットワークに導入することは、コスト削減と情報管理の強化を同時に実現できる有効な選択肢です。ただし、接続するだけで終わりにすると、「設定不備による情報漏洩」「ウイルス感染の全社拡大」「障害時のデータ消失」という3つのリスクを抱えることになります。
セキュリティ境界設計の核心は、「何を誰から守るか」を最初に決め、「必要な通信だけを通す」設計を組み込むことです。VLANによるネットワーク分離、ホワイトリスト方式のファイアウォール設定、最小権限によるアクセス権設計、ログの定期確認という4点を最初から組み込めば、導入後のセキュリティリスクを大幅に低減できます。
IT専任担当者がいなくても、この記事で紹介したチェックリストを業者への確認事項として活用することで、安全な導入が可能になります。まず「現状のネットワーク構成を把握し、用途と設計方針を固める」ところから始めてください。
小型サーバーの導入・セキュリティ設計についてご相談ください
イーネットマーキュリーでは、中小企業・士業事務所向けの社内サーバー導入支援とセキュリティ境界設計をサポートしています。「何から始めればよいかわからない」という段階からご相談いただけます。まずはお気軽にお問い合わせください。
