● 「130万社かその2倍の事業所数が参考になるかも???(かも?です)」~ PC30台以下の事業所が、未知のウィルスにも対応できて、ランサムウェア漏洩や脅迫をつぶす、WindowsUpdate(基本、事務用途にはほぼムダな修正)を多少怠けても大丈夫な、ネットワーク構築やPCの使い方
※まだ書きかけです。すみません。
※間違ってたらすみません。
※メモ書きなので、自分でも意味不明な箇所も多いです。ごめんなさい。
★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★
★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★
まえがき
今回の対策は、
全国に恐らく130万社くらい、事業所数だと「恐らく200万拠点くらい」が存在する、
「Webやメールやクラウドばっかり見てるわけじゃない(接客、商談、工事等々をしてる)」
「ワークグループでのネットワーク構成」の、
「パソコン台数30台以下の」、
「パソコンを、基本的には事務だけにしか使わない」、
そういう
「零細企業の」
事業所のためのものです。
(※現在、日本の企業数は、約336万社あって、そのうちの99%くらいが中小零細で、
特に、従業員が20名以下の企業が日本全体の85%くらいだそうです。
拠点数(事業所数)は515万拠点くらいらしいです。)
大企業や、中小企業の中でも大きいところ、IT屋さん、デザイン屋さん、動画屋さん、広告屋さん、
などの
「Webやクラウドが1時間でも使えないと死ぬ」
「大規模ネットワークしか使えない(ActiveDirectryなども含む)」
「VPNなどで物流センターや大きな工場とつながっている」、
などの企業は対象にはしていません。
(今回被害のあった、アスクルさんやアサヒビールさん、過去に被害のあったトヨタ系の下請けさん、等々の大きな企業は対象にしていない、ということです)
そして今回の対策としては以下のような方向を目指しています。
●「感染はするけど、漏洩や脅迫は ”ゼロ”または ”少し”。”侵入も大幅減。 ”
「大手企業が犯罪者に暗号化されたり盗まれる量の、8~9割以下に」。
従業員のうっかりミスや「ラクしたいゆえのルール破り」があってもです。
そういうルール破り「前提」で。でも被害は「8~9割減に」。
「できれば10割減に。」
少なくとも異変を感じてからルーターの電源を抜いたり、LANケーブルを抜いたり、
他のPCの状況確認などがそこそこ落ち着いてできて、できるだけ業務を止めない、
その「時間稼ぎ」くらいはできるように。
更に少なくとも、大手企業の事件・被害で頻繁に起こる、以下のことが無いように。
"全部盗まれる"、あるいは、
"数カ月にもわたって潜伏を許してしまい"、
"どのデータを盗むと一番効果があるかを、
ゆっくり物色までさせてしまう"、
"そういう余裕を与えてしまう"、
とか、
"どれだけセキュリティのプロが揃っていようが"、
"どれだけWIndowsUpdateを真面目にやっていようが"、
"侵入されて"、
"完全に"
"ナメられてしまう。"
●「感染しても感染したその1台のみしか被害なし。」
「被害を出来る限り1台だけに食い止める」
●「未知のウィルスにも強い。」
●「復旧ができる限り楽になるように。」
●「よって、古いOSも使える。」
●「プリンタ複合機」がどのネットワークからも使える。
(印刷のみ。スキャナPDF共有閲覧はSMBが生きてる同一セグメントのみ)
●ランサムウェアや拡散系のウィルスはネットワーク内の自動拡散は
できるだけ防ぎます。ルーター間では実質ゼロに近づけます。
●作業コスト(追加のパソコンや機器を含む)は1台当たり2~3万で、
できれば最低10年は持つように。(1年あたり2000~3000円以下)。
●各種設定を難しくしすぎない。(PCに詳しいバイトでもできるレベルに。)
●復旧をラクに、できるだけ早くできるように。
●バックアップはこまめに取る。
(平時用に常時接続のバックアップと、
ランサム等復旧用に常時接続しないものの最低2つを。)
●「無駄なWindowsUpdate」不要。
●「脅し的な」「WindowsUpdate」も不要。
●OSやソフトの無意味なバージョンアップ地獄不要。コスト浮く。
●「高額なセキュリティ業者」不要。
●「社員だけで」対応できる。(あるいはPCに少し詳しい学生、バイト、でも設定できる)
●「高額なセキュリティ装置」も不要。
●「メール+WebのPC」はMacでもLinuxでも可。
「Windowsである必要はない」。
(MicrosoftOfficeが不要なときだけだけど。)
「全部繋がっている、ということは、”実は”悪かもしれない?」
「全部繋がると便利!はウソで、実は、IT屋さんが商品売るのに便利なだけ」
「全部繋がるから=全部流出する(例:アサヒビールさんやアスクルさんなど多数)」
「全部繋がると便利!全部つながないなんて超効率悪い!!
=実は半分以上ウソ。実際、例えば、IT関連の仕事じゃなければ、
そこまで効率悪くならない。」
「全部繋がると便利!
=巧みな洗脳。
日本全国、長い年月をかけてそう信じ込まされているだけ。
そう思い込まされているだけ。」
「オンプレミスの顧客DBだけはWebから切り離してもいいのでは?」
「例えばIT屋さんでもないのに、メール、そんなに送る?実は電話も多いのでは?」
「例えばIT屋さんでもないのに、Web、そんなに見てばっかりいる?」
「実は先入観無く見直してみたら、実は顧客DBだけのネットワークの中で、
チラシや広告のデザインも、印刷も、FAXも、Excel・Wordも、
全部完結しちゃうんじゃないの?」
という思想でやります。
(※もちろん、クラウドの顧客DBなどの場合、
それを見るPC達もWebにつなぐことになります。(Webへの出入口は色々)
本対策では、それは
後述の構成図の((A)=ルーター3)のネットワークのPC達になりますが、
ブラウザは顧客DBのみ等しか使わないようにして、
検索などは禁止し、メーラーはインストール禁止にします。
uBlock必須にして、ブラウザやタスクトレイなどの広告を
死んでもクリックしないようにして、
Web検索自体やその他の利用が禁止、です。
この形態だとサボると漏洩するので、注意します。
ただ、これ書くと必ず「甘い」と文句を言う人がいますが、
大企業の顧問の「被害を出してるセキュリティの専門家」がやってる
「高度な」機器やソフトによるモノ (でも入られると重要データや
顧客データが盗まれ放題の対策)、
よりかは、
はるかにコスパがいい、はるかにマシ、な対策です。
お金の無い零細にとっては。)
あと、
「人間やロボットなどが、直接事務所に来て、ウィルスを仕込みまくったり
データを直接盗んでいく」とか
「内部犯行」
などは対象としていません。
それは監視カメラか従業員同士の声かけのしあい、
などくらいしか、コスパの良い対策は無いので。
「そこを考えない対策は甘い!」とか主張するキチガイじみた人間や記事がありますが
そんなのは警察や軍(orスパイ防止法)の仕事なので、今回の対策外、とします。
零細がそこまでできるわけないですし。
あくまで、
「犯人はWebの向こうにいて、暗号化、感染、脅迫、が自動化されている場合」のみ、
の対策です。
それでも、「漏洩」を許すセキュリティの専門家や、
セキュリティ機器とソフトだけ売りつけて面倒見ないIT屋さんよりはマシだと思います。
(※漏洩=暗号化よりも防がないといけないもの。脅迫の源泉。)
なお、USBメモリ経由での感染や、「ラクしたいから一時的にルール破り」のような
人間的なミスも織り込み済みです。
そんなの防げるわけないから、でもそれが起こっても、
「漏洩だけは大企業がやる対策よりは8割は減らす(できればゼロ)」、
という思想でやります。
大企業の対策だと、「全部つながってる」ので、
入られたら数時間で、「また」、やられるだけです。
機器が売れるだけで何の進歩も無い‥と言われかねません。
それが20年以上続いている。
「発注したけど使われないデータベース」が「今も減らない」、のと似ています。
★★★ どんだけセキュリティの専門家がいてもやられる大企業がやってる対策。★★★
★★★ 零細企業が盲目的に安易に真似していい対策ではありません。 ★★★
★★★ マネしても被害が減らないどころか、増えるでしょう。 ★★★
★★★ 我々はもう難しいセキュリティ用語や機能は覚えなくていいです。 ★★★
★★★ 通信経路だけ考えましょう。 ★★★
★★★ 零細は。 ★★★
★★★ ぶっちゃけ「恐らく最新セキュリティトレンドも不要」です。 ★★★
※あとになって調べてみましたら、一応、IPA(独立行政法人 情報処理推進機構)も
同じような方法を昔からおすすめしていました。
トレンディではないのは間違いないです。(^^)
ルーター3個と中古PCで安価に済ますか、それとも、VLANや
仮想ブラウザ?(無害化ブラウザ)などを使うかどうか、みたいな違いはありましたが。
今回の方策は、それらよりも安価で、各種アップグレードに対する自由度は、
もしかしたら高いかもしれないです。(=古いOSが使えたり、不用意に安易に
バージョンアップしてしまったがために、むしろ逆に効率が悪くなってしまった・・・、
みたいなことがだいぶ減る。)
★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★
★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★
PCは基本、2台使います。(ルーターは3つか4つ使います。)
【a】顧客DB入力と閲覧、ExcelWordパワポ、簡単なデザイン、FAX受信、など専用のPC
【b】メール&Web(クラウドその他)専用のPC(中古2万円前後のマイクロPC等)と
の2台です。
そしてその2台をKVMスイッチ(モニター・キーボード切替機)で繋ぎます。
前者は重要データを格納するPCにして、「Webを遮断」し、
後者はできるだけ重要データを「使ったら消す」PCです。
後者は無線LAN子機を1つ挿してWebにつなぐか、
あるいは、2つ挿して片方をWebにつなぎます。
無線LAN子機を2つ挿す場合は、UltraVNCなどを使って、
A(例えば古いOS)のパソコンから、
B(例えば最新OS)のパソコンを,
リモート画面で操作することもできます。
(【a】のネットワークは「Web遮断」をしたまま。
各ルーター間は「SMB」(後述)を「遮断」します。)
そのほか、USBリンクケーブルを追加することで
ファイルや各種のコピペも可能にできます。
(UltraVNC単体でもテキストのみのコピペが可能です。
ファイルはファイルビューアで転送ができます。
後述の「SMB」は使いませんので、今のところ、
リンクテーブル経由でランサムウェアが自然自動拡散
することは無いです。将来は分かりませんので
油断は禁物ですけど・・・。)
(※今回は中古PCを使うかたちですが、
実は今、中古PCはSSDになってからあまり故障しないので、
事務用途だけなら中古でも十分すぎるほど十分です。
基本的には、事務用途に新品は必要無い時代になったと思います。
特に大企業が放出する中古の機種なら長持ち傾向です。
なので、【a】も【b】も両方共中古PCでもよいです。
今現在でも数社、「中古でも3年保証してくれる」業者もありますし。
なぜそれができるかというと「あまり壊れないから」です。
今後、そういう業者さんがもっと増えてくるでしょう。
マイクロソフトが「まだぜんぜん使えるパソコン」を
「どんどんサポート切れ」とゴリ押しして「廃棄させていく」
というスタイルの商売をやめないので・・・。
(膨大なデジタルゴミ産生+環境破壊+レアアース無駄使いなので
かなり良くないことですが、中古業者さんがそこを埋める形に
なってきたのかも?しれませせん・・・。)
これは多分「日本の中古iPhoneが世界で大人気」、というのと同じです。
なお、アイドル時間が3時間以上あるとあらかじめ分かっているPCなら、
休止状態にしておけば中古であってもさらに長持ちしますし節電にもなります。
あと、マイクロPCは、基本的には消費電力も小さいので節電・静音にもなります。)
※重要な補足:(ある意味諸悪の根源の)「SMB」について
「SMB」とは、俗に言う「Windowsファイル・フォルダ共有」のことです。
で、「SMBでのファイルアクセス(=ファイル共有)ができない」ということは、
ランサムウェアなどのLAN内自動拡散型のウィルスがネットワーク内で
「自動拡散できない」
ということを意味します。
PC間でSMB禁止(=SMB遮断)にすればPC間ではまず拡散しないですし、
ルーター間でSMB禁止(=遮断)にすればルーター越しにはまずウィルス拡散しないです。
それ以外の攻撃も減らすことができます。
つまり、例えばランサムウェアの場合であれば、「暗号化も広がらない」、ということです。
暗号化が広がらなければ、脅迫も無意味です。
また、暗号化されたとしても、バックアップがあって内容が大したことないなら、
それまた脅迫は無意味です。
「中身を公開してしまうぞ!」と脅されても無意味です。
「まあ、それくらいならご勝手にどうぞ」と言う事ができる、ということです。
いちおう、何を盗まれたかをできるだけ「被害限定+推測」できるように
分かりやすくしていますので。
(「少なくともこのPCとあのPCの中身だけ」といった感じで。)
誤解させてしまうといけないのですが、でもあえて言ってしまうと
「ほとんどのウィルス被害の原因」としては、
「ある意味」、
「SMB(Windowsファイル共有)こそが諸悪の根源」、
と言えなくもないです。
(もちろんセキュリティ面で見た場合に限りますが。)
ただ、この事実を知らない私たち一般人が多すぎるので、
というか、自分らの商売が成り立たなくなるため、IT屋さんはずっと隠しているので、
マイクロソフトやセキュリティ屋さんはまずこのことをもっとアナウンスすべきです。
そして、実は、WindowsUpdateは
この「SMB(Windowsファイル共有)」の部分をまったく守れません。
安全に通信させることはさせるかもしれませんが、
でもだからと言って安全に通信「させつつガードする」というわけでは
まったくありません。
(不良品を普通に直すだけのことしかしてません。)
さらには、
『この「SMB(=Windowsファイル共有)」の脆弱性のWindowsUpdateにおける修正項目は、
今となっては件数が少な目』なので、
特に「PCを事務にしか使っていない事業所」では、
更に特に、
「メール、ブラウザのパスワード保存、SNS、クラウド倉庫、個人アカウントの利用」等々の
「侵入口をかなり潰せてる事業所」は、
「WindowsUpdateの意味があるかも疑わしい」です。
もともとWindowsUpdateの修正内容は、
特殊か高度な使い方してる場合の脆弱性修正ばかりなので。
(後述します。)
とはいえ、
「SMBファイル共有」は本当は便利な機能ですし、
逆に使えないとすごく不便なこともあります。
なので、もちろん今後も使っていくべき機能ですが、
ただ、一応覚えておいて欲しいのは・・・、
「SMBを生かしておけばウィルス拡散だけなく他の攻撃もやりやすくします」し、
逆に、
「SMBを殺しておけば、拡散以外の攻撃も(もちろん全部ではありませんが)防ぐ下地ができます」。
あるいは、
「攻撃されたり感染してもデータ漏洩の確率や量がグンと下がる」し、
「攻撃や被害があってもそれが ”8~9割は ”、”無意味になる”、ケースが増えます」・・・
・・・ということです。
なぜかと言うと、そもそもウィルス自体が、
「侵入後や感染時にSMBが生きてる前提で作られているモノ」が非常に多いからです。
前後入替
(※そのような意味では、
Azureなどのクラウドのデータベースは、ランサムウェアには
結構強い、と言えるかもしれません。「ダブルエクストーション型」の
ランサムウェアの場合はちょっと分かりませんけど・・・))
また、
「実は、すべてをSMBでつながなくても、お仕事の作業効率が落ちない」、
という、
そう言うケース、ゾーンも、ご自分で探せば、
「ある」ということにも是非、気づいてください。
「全部繋がないと絶対に超・効率が悪くなる」、
というのは、
「ある意味IT屋さんの洗脳」、
だと認識して頂いて、そうならないケースも、実は、特に
「事務にしかパソコンを使ってない」という場合は、
「意外と探せばあることもある」ということを、
是非、頭の隅に入れておいて頂きたいと思います。
特に、零細の場合は、
『「どれだけ高額な機器をそろえて、どれだけ頑張ってやっても被害に遭う。」、
なぜなら、「全部」を「繋いでしまっているから。」、
…という大企業の対策・・・ 』
は、
「データ漏洩し放題、暗号化し放題、脅迫され放題」なので、
盲目的にマネしても被害が増えるだけです。
また、そもそもセキュリティ企業に対策費が払えません。
払ったところでメチャクチャコスパが悪いケースも少なくないです。
特に「ワークグループ」のLANでフォルダ共有している事業所は。
したがいまして、結局のところ、
「SMBをどこまで殺せるか」、を考えるほうが、そのような対策の
8割以上は、「安価に」被害を減らせると思います。
ぜひ、頭のすみに、そのことを置いてみてください。
なお、ここでは、SMBv1という、もっともウィルス拡散しやすいSMBを扱う前提で
お話を進めます。
「そのもっとも拡散しやすいものを、防ぐ」ということです。
そして大企業よりも8割以上、データが漏洩しない仕組みを作る、ということです。
(できればゼロに。)
なお、現在SMBにはv2とv3というバージョンもあって、v1よりも侵入しにくくなっています。
「共有フォルダや共有ファイル」を「全部」閉じた瞬間に、ファイルの勝手なアクセスが
不可能になる仕組みです。これにより、ウィルスも拡散が止まります。
でも、外出する際は席を立つ際などに、
「共有フォルダを開きっぱなし、共有ファイルを開きっぱなし」にすると、
「1つでもそのようなファイル、フォルダがあると」その仕組みは壊れ、
SMBv1とほぼ同じように、「共有しあっているPC間のみでは」、
ウィルス拡散し放題、になってしまいます。
ただし、その「2台だけ」ならいいのですが、複数台で、
「1つでも共有フォルダ、または、共有ファイルを開きっぱなし」にすると、
そのウィルス拡散は広がっていきます。
それも、『 今でも、「SMBが諸悪の根源」といえるかもしれない 』一因です。
つまり、「ウチのSMBはv2とv3だから絶対安心」とは、「まったく」「なりません」。
結局のところ、「SMB」は、
「ある意味」「Windows最大のセキュリティホール機能」と言えるかもしれず、
「常にウィルス拡散と隣り合わせ」です。
(機能自体がセキュリティホール、というとんでもない状況です。)
SMBを舐めずに、是非、ご注意ください。
★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★
★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★
ChatGPTに聞きながら、実際に色々と実験してみましたら、
「ランサムウェア、キーロガーやトロイ、インフォスティーラ―、その他諸々からのセキュリティ被害の対策」に使える、
社内LAN接続構成の4パターンを作ることができました。
簡単に言うと、
(A)インターネットにつながってない、顧客DB利用やFAX受信、各種日常作業専用のPCのLANと
(B)インターネットにつながっている、メール+Web、取引先のクラウド利用等専用のPCのLAN、
の2つのLANをつくり、
それぞれにつないだPCを2台、並列に机に置いて、
KVMスイッチ(モニタキーボード切替器)で切替利用します。
(※プラス、(C)として、「ファイル転送用の社内FTPサーバを置いたネットワーク」
も作成します。
その際、その2つのPC間では、ファイル転送や各種のコピペなどが小さからぬ問題になりますが、そのファイルの転送は「SMBファイル共有を使わずに」、
(イ)ファイル転送専用のUSBのリンクケーブル
(クリップボードを共有できる。意外と遅くない。)
か、
(ロ)社内FTPサーバ(前述の(C)に接続したPC。)
などを使って、ファイル転送します。
ちなみにですが、(イ)は、6GBくらいのファイルを10分くらいで転送できます。
(USB3.0のUSBメモリくらいの体感です。メッチャ速いわけではないですが、遅くもないです。)
(イ)の場合、
ファイル転送や各種のコピペが右クリック→コピー→ペースト、でできるのですが、
そこまでできると、かなり操作性がアップします。
(実はモニタが2台あるとドラッグでの転送もできます。あまりお勧めしませんけど。)
PCが2台並列であっても、1台のPCを使っている感じに近づきます。
ちなみにですが、
(ロ)の方法オンリーの場合は、UWSCで転送用FTPフォルダを自動で開くので、
実は思ったよりもスムーズです。ファイル転送に限っては。
ただ、各種コピペのほうは
(ロ)の方法オンリーだとできないのでだいぶ不便かもしれません。
でも、「どのくらい、前述の(A)と(B)のPCの間での各種コピペが必要か?」
にもよります。
しかしながら、
前述の(A)と(B)いずれかのパソコンである程度何らかのソフトで下書きしてから、
いずれかにファイル転送する・・・、という形でも意外と不便なところをカバーできる気がします。
Webページはmhtml形式で保存し、mhtml形式のファイルが見られるビューアソフトか、
Wordかブラウザで開けば、Webにつながってない顧客DB側のネットワークのパソコンでも確認できます。
(顧客DB側のネットワークをWebにつないでしまったら、ブラウザではなくてビューアや
Wordのほうが 良いのかもしれませんが)
そうやってちゃんと調べていくと、
「どのくらい、(A)と(B)のPC間での各種コピペが必要か?(ファイルコピペ以外で)」
ということについては、
「実は意外と少なかった・・・」というパソコンは、
恐らく1台や2台ではないのではないか?と思います。
(※ChatGPTやジェミニなどは(B)のパソコンで普通にやればいいだけですし。)
IT企業やデザイン・広告系の企業、大企業ならいざ知らず、
「Webやメールやクラウドばっかり見てるわけじゃない
(接客、商談、工事等々をしてる)」
「ワークグループでのネットワーク構成」の、
「パソコン台数30台以下の」、
「パソコンを、基本的には事務だけにしか使わない」、
そういう零細企業であれば。
なお、(イ)も(ロ)も設定はさほど難しくないので、
『(イ)が一時的に故障した場合のみの代替として(ロ)を使う』、
ということでも良いかもしれません。
もちろん、『(イ)も(ロ)も併用 』という形も取れます。
顧客DBのネットワークをWebから遮断しつつ。
※社内FTPサーバを置く(C)のネットワークは、
下から(A)(B)(C)と多段的になるようにつないでいった、
その最上位。です。
最上位なので、(A)からも(B)からもFTPのみでアクセスできます。
(SMBはルーターで送信も受信も遮断)
また、(C)から(A)や(B)にはSMBもFTPも無いのでファイルアクセスできません。
あと、ウィンドウの切り替えも、少し手間かもしれません。
でも、UltraVNCなどを使って、(A)(B)の画面を切り替える機能も追加すると、さらに便利になります。
(UltraVNCで何か不都合があったときだけKVMスイッチを使う・・・という方法も取れます。)
総じて不便さは確かにありますが、実際に試してみると・・・
特にUltraVNCを使うと、意外にもあまり苦にはならなく、
前述の(イ)を使うケースよりもさらに「1台のPCを使っているみたいな感覚」に、
これまた意外にも、「けっこう」近づきます。
なお、両方のPCに「マイクロPC」を使えば、場所も消費電力もとりません。
(B)だけでもマイクロPCにすれば効果あります。ノートだと使いづらいですが、
ノートでも一応はOKです。
マイクロPCは中古でもOKです。
1台1万円台からWindows11パソコンがあります。
今時は事務用途ならそれで全然大丈夫です。
起動ドライブがSSDになってから昔ほど壊れなくなった印象ですし。
新品だとデジタルゴミも増やすわけですし、そもそも壊れてないのに、
しかも速度も事務用途ならまったく遅くないわけですので、
「事務用パソコンに新品を使う理由が無い」です。
また、「最初から3時間は使わないことが確定」というパソコンは、
例えば、出かける前などに休止状態にして、さらに消費電力を抑えます。
社員全員で監視して、休止にし忘れていたら、休止にしておきます。
これは、消費電力を抑える目的以上に、
「ウィルスを拡散させない。」
「そのために使用頻度の低いPCはできるだけ眠らせとく。」、
という目的があります。
眠っているパソコンが多ければ多いほど、
感染もしない・拡散しないわけですから、復旧も楽になりますし。
(A)(B)のネットワークや(C)FTPサーバネットワークのパソコンの間では、
ルーターがかませてありますが、上位から見て、
基本、(C)(B)(A)の順に、カスケード的に多段のルーターが繋がっています。
そして、各ルーター間では、送信も受信も、SMB、RPC、RDP、WinRM、を遮断します。
ケースによっては(B)のパソコンには無線LAN子機を2個挿しします。
なお、全体としてはSMB以外のポートが使えるので、
プリンタやFAX複合機は(FAXのPDFファイル共有閲覧以外は)、
印刷自体は問題ないと思います。
KVMスイッチでの画面切り替えや、
SMBを使わない(クリップボード共有にてでの)ファイル転送もできるので、
それでプリンタの繋がっているネットワークにファイル転送してから印刷…、
という方法ももちろん可能です。
機器の販売状況に合わせて変えていけばいいと考えました。
以下のようなことをクリアできるようにしました。
●「感染はするけど、漏洩や脅迫は ”ゼロ”または ”少し”。侵入も大幅減。
(少なくとも大手企業の事件被害のような、"全部盗まれる"、が無い。)」
●「感染しても感染したその1台のみしか被害なし。」
「被害を出来る限り1台だけに食い止める」
●「未知のウィルスにも強い。」
●「復旧ができる限り楽になるように。」
●「よって、古いOSも使える。」
●「プリンタ複合機」がどのネットワークからも使える。
(印刷のみ。スキャナPDF共有閲覧はSMBが生きてる同一セグメントのみ)
●ランサムウェアや拡散系のウィルスはネットワーク内の自動拡散は
できるだけ防ぎます。ルーター間では実質ゼロに近づけます。
●「無駄なWindowsUpdate」不要。
●「脅し的な」「WindowsUpdate」も不要。
●OSやソフトの無意味なバージョンアップ地獄不要。
●「高額なセキュリティ業者」不要。
●「社員だけで」対応できる。
●「高額なセキュリティ装置」も不要。
●「メール+WebのPC」はMacでもLinuxでも可。
「Windowsである必要はない」。
(MicrosoftOfficeが不要なときだけだけど。)
●各ルーター間はSMB、RPC/DCOM、RDP、WinRM、遮断。(RPC/DCOMはできる範囲で)
●後述の構成図のルーター2のPC間は、SMB遮断。あえてファイル共有できなくします。
●同じく構成図のルーター2のPCをマイクロPCなどの消費電力の少ないものを使い、
ルーター3のPCは通常PCかマイクロPCを使って、できるだけ消費電力を落して電気代を安くします。
3時間以上PCにさわらないことが最初から分かっているPCなら、
外出時に使用者がスリープや休止状態にするか、
気付いた他の社員がスリープや休止状態にする。
なお、LANケーブル経由で起動させられてしまうBIOS(UEFI)設定になっていなければ、
例えば「休止」は拡散防止にもなります。
(スリープはその効果が無くてダメな時があります。)
●基本、固定IPアドレス設定。
●クラウドの顧客DB利用に移行する場合は、そのネットワーク内のPCは、
Web検索厳禁+メーラーインストール厳禁、にします。
●ただし、PC20台以下の零細と個人事業主のみしか使えない。
と言っても130万社か、その2倍の営業所数で使えるかもですけど。
(あと、ケースによってはPC100台くらいまではいけるかもですけど。)
●しかし、
「大手企業のように、セキュリティの専門家が勢揃いのくせに軒並み安易にやられてしまう」とか
「セキュリティの専門家とやらの言う通り、WindowsUpdateを毎回確実にやってたのに安易にやられてしまう」などの
「あきらかに」(「理屈上」「理論上」「コスパ上」等々において)「おかしな点」をできるだけ排除する。
●基本的に、「犯罪者が社内で人的に手作業でデータを漏洩したり盗んだり」、とか、
「人間が手動でウィルスを仕込みまくったり」などは考えていません。
それは別の課題になってしまうので。
正直それは警察案件なので、我々ができるのは監視カメラか、
従業員の皆さんの目と声かけ、くらいでしかできないです。
あくまでも自動拡散と漏洩と脅迫を防ぐだけ。
(セキュリティ業者の中には、「それができてないから甘い」とかの
キチガイじみたことを言う人やWeb記事がいますが、
それを防ぐにはスパイ防止法や警察や軍が必要です。
誰がそんなもの雇えますか?制定できますか?
なのでここでは考えません。
万が一ランサムウェアに感染してファイルが暗号化されて脅迫されても、
「後述の図のルーター2のPC」の中に重要データ(顧客データ等々)やメールの中のパスワードなどを置きっぱなしにしなければ、脅迫はまずあまり意味が無くなるので。
結局、「感染前提だけど漏洩は最小限PC1台分のみで脅迫もあまり意味無し」なので、
「あなたたちが少しの感染も侵入もダメだと言うから、あなたたちの言うこと守ったのに、結局やられてデータは漏洩し放題・脅迫され放題じゃんか。どうしてくれる?」ということしかしてない人、
今やられてなくても将来そうなってしまう対策方針を支持する人とは、
そもそもスタートが違うから、最初から全く議論になりません。)
※今回の対策に対する、セキュリティ業者やイクロソフト視点での評価
(零細や素人SEへのけなし、ある意味いじめ。)
今回のこのネットワーク構成や対策を見せると、まず100%、こう言われます。
「それは理想論」
「運用が大変」
「現実的ではない」
「人に依存しすぎ」
「設定が適当で甘すぎる」
でも本音は:
これじゃあ俺たちが売るものがない
ウチのライセンスが増えない
俺らのサブスクが回らない
SOCもEDRも不要じゃんか
AzureもM365も不要じゃんか
ウチのセキュリティ機器もソフトも売れないじゃんか
だから、「そんな対策は具の骨頂」と「かなっらず(必ず)」言ってくる。
さらに言うと:
このネットワーク構成や対策は、
「★Windows Update神話」が「★崩れる」、構成・対策。
なので、これを例えばマイクロソフト公式が肯定できるわけがありません。
・・・結局のところ・・・、
「あなたたちそうは言うけど、
でもあなたちの言うようにWindows Updateやってても、
それでも大企業が軒並み犯罪者にやられてるんだけど?
なんで?
そもそもWindowsUpdateってウチの規模や業種や使い方に
とって本当に効果あるの?
っていうかさ、そもそも”意味あるの?”
事務しかやらないパソコンにはほとんど関係ない修正内容が
すごく多いですよね?
さらに言うと、あなたたち、”まずはWindowsUpdateさえやっておけば安心”、
とか「口を揃えて」言っときながら、
実際に私らが被害に遭うと”それだけでは不十分”、
”あれもこれも不十分。この機械やソフト入れて防御しましょう”って
”必ず”言いますよね。
なんなの?
それ?
結局ウソ言ってたじゃん。
どっちなの?
で、その新しい機械やソフト入れたとして、今度は絶対に被害に遭わないの?
遭うよね?じゃあ、どこまでやれってんですか?どこまでお金出せっていうの?
”(ある意味)効果の無いモノ”に。
そもそもあなたたちの対策って、
想定外に想像以上にカンタンに、
しかも!、
全部!、
データ漏洩しますよね。
私の対策はそこまでしませんよ?
注意すれば、侵入、感染したとしても、
最大で大手企業の被害の100分の5くらいかゼロまでは減らせる。
時間もかせげる。
顧客DBをWebにつないでないですから。
そうやって、大事なデータをWebに漏洩させないエリアを作ってますから。
重要なデータはそのエリアに入れておけばいいんですから。
万が一ウィルスが入って暗号化されても「無人で自動の漏洩」は
限りなくゼロに近づけられる。
Webにつながってないから。
重要なデータのエリア(顧客DBやその他の重要ファイルなど)はWebにつながってないから。
バックアップと感染してない時のクローンの予備の起動ドライブ
があればすぐに復旧できるし。
メール+Web専用PCと併設置して使用しますが、そちらは
各PCのあいだでも、通常のファイル共有(SMB)管理共有(隠れSMB)も止めるので
被害が1台に収まる確率が高い。
使用頻度の低いPCは”LAN起動設定を切って原則全員で休止状態”にするので
さらに拡散しない。
もっと言うなら、
もし設定ミスや「ラクしたいからの一時的なルール破り」が起こっても、
それも織り込み済みなので、
”あなたたちの対策よりは”、
”大幅に漏洩しません。
多分、あなたたちの対策よりも80%以上、漏洩しません。”
普通の人間ならどっちにお金払いたくなりますかね?」
でも悲しいかな“決裁構造”は別。
決裁者は「責任回避」に金を払う
現場は「被害回避」に金を払う
だから:
効果が高い方であっても選ばれないし、
「説明しやすい方」や
「なんかカッコイイ方」が採用される。
素人のアイディアは、どれだけデータ漏洩がゼロに近づいても、採用されない。
おかしくないですか?
という現場からの疑問・・・という話なんです。
●むしろ、以下の「基本」を守ります。
そのほうが「WindowsUpdateやるより」も「20倍以上」、セキュリティに、
防御に強くなるので。
(以下、IT屋さんの社交辞令。真剣には言わない。売れなくなるから。
そしてWindowsUpdateは、
以下のような対策の原因となるウィルスの侵入経路を、
「なにひとつ」「ひとっつも」潰せないです。)
・怪しいタイトルのメール開かない。(発送しましたメールや銀行・カード関係のメールなど。)
・ヘッダなどを活用して詐欺かを判断。(全員で協力して)
・メールのURLを安易にクリックしない。
・HTML形式(HTML表示のタブなど)で絶対に開かない。
・メールの添付ファイルを安易に開かない。
・ブラウザの広告を絶対にクリックしない。
・uBlock OriginやLiteは必須アドインとして入れ、広告をできるだけブロック。
・ブラウザ内のフォーム(Webページ)とパスワード、カード等々の保存設定厳禁。
・同期という同期は全部OFF(漏洩防止のため)。
・フリーウェアインストール厳禁。
・SNS厳禁(社用公式のみ)。
・Windowsアプリ、アップルのストア、使用厳禁。
・OneDrive、365、GoogleDrive、Dropbox、厳禁。
・個人のPCのDBネットワーク参加の禁止(専用の、SMB遮断ルーターにのみ無線接続)。
・マイクロソフトアカウントの無料サービスの利用厳禁。
============
では、以下、ネットワーク構成図です。
各ルーター間では、最低でもSMB共有(いわゆるファイル共有、フォルダ共有)は使いません。
遮断します。
理由は冒頭の補足でもお話しました通りです。
基本的に、犯罪者が仕込むウィルスの「ほとんど」が、
「侵入したあとはSMB共有が生きていることが前提」、
として作られているからです。
そして、SMB共有さえ殺しておけば、万が一、ウィルスに感染したとしても、
ほとんどのウィルスは、その悪事の8~9割が「できなくなるから」です。
動き始めても途中で動けけなくなるといったこともあります。
暗号化はされたとしても、後述のルーター2のPCに重要データが少なければ、脅迫もほぼ意味が無いです。
※俗に言うWindowsパソコンでの「全部つながる」は、
「全部のパソコンやルーターでSMBを生かしておいて、
全てのファイル・フォルダ共有できるように繋がる」という意味に近いです。
なお、顧客DBのネットワーク(後述のルーター3のLAN)の中では、PC同士がSMB共有が必要ですが、
そのため、
「インターネットにはつながない。」
「ブラウザ入れない。削除。」
「メーラー入れない。削除。」
という形にします。
(クラウドの顧客DBの場合はネットにつないでブラウザを入れたままにしないといけませんが。
でもそうじゃなくて、SQLServerやMySQL+ブラウザインターフェイス…、
などの形態なら、もちろんブラウザもインストール可です。
インターネットにはつながってないですから。)
基本的には、各ルーター間では以下のようなポートを遮断しておきます。
TCP 135(RPC Endpoint Mapper)(WMI/PRC)遮断
TCP 445 / 139(SMB)遮断
TCP 5985 / 5986(WinRM)遮断
TCP 3389(RDP)遮断
(01)クリップボード共有可能なリンクケーブルが売り切れで無く、UltraVNCも無い場合。
KVMスイッチ(モニタ+入力装置切り替え機)のみ使う場合。(ルーター2 と3のPC間で)
顧客DBはフォルダ共有はできるけど、Webには漏洩防止したいためつながない。
↓
FTPサーバかUSBメモリでファイルをやりとりするしかない。
ただ、FTPソフトの転送専用フォルダのオープンと接続をUWSCで自動化できるので、
思ったよりは使い勝手は悪くない。
何も無し(有線無線切断)
|
|
|
|
ルーター1(FTPサーバ×1台のみ)(C)
192.168.187.1----192.168.187.100
|
|
|
|
ルーター2(メール+Web専用PC郡:最新OS)(B) 別フロア無線ルーター4
192.168.55.1----192.168.55.100----------外部 無線 LAN(カスケードも何も無し)----→192.168.173.1(インターネットへ)
| (LANアダプタ2個挿し。
| 両方無線でも可。)
|
|
ルーター3(顧客DBその他ほとんどの作業のPC郡:旧OS可)(A)
192.168.0.1----192.168.0.100
(02)「クリップボード共有可能なリンクケーブル」が在り、UltraVNCを使う場合。
KVMスイッチ(モニタ+入力装置切り替え機)もVNCがトラブったときに使う場合。
(ルーター2 と3のPC間で)
顧客DBはフォルダ共有はできるけど、Webには漏洩防止したいためつながない。
↓
「クリップボード共有可能なリンクケーブル」でファイルを「コピペ」でやりとりできる。
UltraVNCを併用すると、KVMスイッチのモニタ切り替えの頻度をだいぶ減らせるので使い勝手・効率が良くなる。
UltraVNCの中でも、「クリップボード共有可能なリンクケーブル」でのファイルを「コピペ」は有効。
この場合は、FTPサーバ不要なので、(01)からルーター1と社内FTPサーバを消せる。
ファイルのやりとりは、最悪、USBメモリ。
何も無し(有線無線切断)
|
|
|
ルーター2(メール+Web専用PC郡:最新OS)(B) 別フロア無線ルーター4別フロア無線ルーター4
192.168.55.1----192.168.55.100----------外部 無線 LAN(カスケードも何も無し)----→192.168.173.1(インターネットへ)
| (LANアダプタ2個挿し。
| 両方無線でも可。)
|
|
ルーター3(顧客DBその他ほとんどの作業のPC郡:旧OS可)(A)
192.168.0.1----192.168.0.100
(03)クリップボード共有可能なリンクケーブルだけが在り、UltraVNCも無い場合。
KVMスイッチ(モニタ+入力装置切り替え機)のみ使う場合。(ルーター2 と3のPC間で)
顧客DBはフォルダ共有はできるけど、Webには漏洩防止したいためつながない。
↓
ファイルのやりとりは、基本、クリップボード共有可能なリンクケーブルとKVMスイッチで。
最悪、USBメモリを使う。
インターネットへ
|
|
|
ルーター2(メール+Web専用PC郡:最新OS) (B)
192.168.55.1----192.168.55.10
↑
LANケーブルやWi-Fiなどではつながない。完全独立。
クリップボード共有可能なリンクケーブルで
ファイルや文字や切り取り画像などをやりとりする。
時にはUltraVNCでルーター3側から2側を操作。
↓
ルーター3(顧客DBその他ほとんどの作業のPC郡:旧OS可)(A)
192.168.0.1----192.168.0.100
(04)顧客DBを刷新して、クラウドに移行した場合や、Win10+仮想マシン(Win2000など)で
動かさないといけなくなったとき。
クリップボード共有可能なリンクケーブルだけが在り、UltraVNCも無い場合。
KVMスイッチ(モニタ+入力装置切り替え機)のみ使う場合。(ルーター2 と3のPC間で)
顧客DBはフォルダ共有はできるけど、Webには漏洩防止したいためつながない。
↓
ファイルのやりとりは、基本、クリップボード共有可能なリンクケーブルとKVMスイッチで。
最悪、USBメモリを使う。
インターネットへ
|
|
|
ルーター2(メール+Web専用PC郡:最新OS) (B)
192.168.55.1----192.168.55.10
↑
LANケーブルやWi-Fiなどではつながない。完全独立。
クリップボード共有可能なリンクケーブルで
ファイルや文字や切り取り画像などをやりとりする。
時にはUltraVNCでルーター3側から2側を操作。
↓
ルーター3(顧客DBその他ほとんどの作業のPC郡:旧OS可)(A)
192.168.0.1----192.168.0.100
|
|
|
別回線でインターネットへ
(OSをWin10にしたいだけでネット不要ならこの回線は不要)
あるいは、
インターネットへ
|
|
|
ルーター1(FTPサーバ×1台のみ)(C)←---リンクケーブル使うなどなら不要。
192.168.187.1----192.168.187.100
|
|
|
ルーター2(メール+Web専用PC郡:最新OS) (B)
192.168.55.1----192.168.55.10
|
|
|
ルーター3(顧客DBその他ほとんどの作業のPC郡:旧OS可)(A)
192.168.0.1----192.168.0.100
など。
●「Windows Update」という、下手すると効果の薄い??、ある意味「恫喝???同調圧力???」について。
(「Windows Update地獄」は誰のためか?「更新しない=危険」という思考停止について。)
WindowsUpdateは、特にセキュリティ修正の「その内容」に関しましては、
『ゲーム用途、Active Directory 環境、VPN 利用、仮想化基盤、高度な動画・画像処理、各種クラウド連携などのための「セキュリティの穴」』、
言わば、大企業や「中小のうち大きな規模の会社のみ」、IT企業、セキュリティ企業、デザイン企業、広告企業、などの「セキュリティの穴」
を埋める更新プログラム内容が多く、
反面、以降の(a)~(g)のような、
『「事務中心」かつ、「ワークグループLANネットワーク」での使い方をする、しかも、「そもそももとから外部からの攻撃の入口が限られている零細企業」や中小の「小」の多く 』、
には、「初めから無関係」なことが多いセキュリティ修正内容です。
(a)オンプレミスの顧客DB・売上DBで、特に、Accessや、SQLServer+ブラウザ、MySQL+ブラウザ、などのDBを使い、社外からのDBアクセスは無し。
(b)あとはファイルサーバのみでほぼ日常業務が完結する。
(c)OneDriveやGoogleドライブ、などは漏洩やデータ破壊トラブルがあとを絶たないので、よほどの機能が無い限り使用禁止。DropBoxなども設定に無知だと漏洩するので禁止。
(d)ほとんど事務しかやらない。
(e)動画配信やSNSも会社公式で少しだけ。
(f)ワークグループでのファイル共有のみ。
(g)サーバーなんて社外公開しない。
※上記のような企業は、日本全体で130万社は下らないと思われます。
(中小零細企業全体・336.5万社のうち、その84.5%くらい=285万社が従業員20名以下の零細企業なので。中小零細全体で日本の企業の99.7%を占めます。社数ではなく、事業所数でいったら、その数倍はあるかも?)
正直、
「ゲーム用途、Active Directory 環境、VPN 利用、仮想化基盤、高度な動画・画像処理、各種クラウド連携」などのための不都合なんて、
我々、「PCを事務だけに使っている人間・事業所」には、ほぼの無関係なのです。
(そういう事業所は、メールURLなどのフィッシングやブラウザに保存したパスワードからの被害のほうが圧倒的に多いですし、事実、今、急増しています。でもそれは「★WindowsUpdateでは何1つ直りません★ 解決できないのです」。)
つまり、「WindowsUpdate自体」が(恐らく)130万社以上に対して、「ある意味」ですが、でも、現実に「相当の」「無駄作業」です。
でも、穴があるからやらないといけない、と「恫喝される」からしかたなくやる。
(皆さん「穴があるからやらないといけない」とそう騙されるので同調圧力も強いです。
同調圧力はいろんなところから来ます。
セキュリティ企業、セキュリティ記事、マイクロソフト、銀行、広告企業、
市販ビジネスソフト企業、会計士、PCショップ店員、Q&Aサイト回答者、
パワーユーザー、などなど。)
でも、ここまで述べてきた構成なら、そんな「ムダなWindows Update」を小々怠けても、「もともと外部からの攻撃の入り口の少ない零細企業」では、多くはセキュリティリスクになりません。
(繰り返しになりますが、スパイや犯罪者が物理的にウィルスを仕込みに来たり、直接盗んでいくのは、警察や軍の適用範囲なのでここでは論じません。)
WindowsUpdateなんかやるより、
・メールやSNSやブラウザのパスワード保存設定に気を付ける、
・自分たちのうっかりミスに注意、
・「ちょっとだけラクしたいから」のルール破りの禁止、
等々のほうが「少なくとも20倍以上は」「効果があります」。
(でもそれはアナウンスされず、TVCMでもChromeなどが安全とうそぶかれています。
といいますか、ウソなんですが・・・。
パスワード保存は危険で現実に被害が増えているなのに推奨されています。
Chromeのデフォルト状態の使用で安全なわけがないです。)
また、「古いOSのまま行ける確率が跳ね上がる」ので、「無駄な」「各種の」「バージョンアップ地獄」からも解放されます。
小々不便になると言っても、IT業界ではないとか、もともと外に出てお客様に接する時間のほうが多い、などの業界なら、言うほど不便にはなりません。
いずれにしましても、
「ゲーム用途、Active Directory 環境、VPN 利用、仮想化基盤、高度な動画・画像処理、各種クラウド連携」、
おまけに「サーバー公開している企業」の尻拭い、とばっちり、は我々(いわば130万社の側)はもうごめんです。
今回の対策は、そんなバカバカしいWindowsUpdate地獄から、脱却するのにも、充分なヒントになる対策・各種構成だと思います。
※補足:「Windows Update の内容についてもう少し具体的に」
Windows Update の脆弱性修正の多くは、
・Active Directory、
・Kerberos 認証・NTLM 認証といった企業向け認証基盤、
・Hyper-V などの仮想化基盤、
・VPN や IPsec といった拠点間・社外接続のための通信機能、
・GPU・DirectX・各種メディア処理基盤、
・Azure や Microsoft 365 などのクラウドサービスとの連携機能
といった、企業環境や高度な利用形態で主に使われる機能に関連しています。
これをもう少しわかりやすく現実にあてはめたものが、前述しましたように、
以下の文のようなかたちになります。
===
『ゲーム用途、Active Directory 環境、VPN利用、仮想化基盤、高度な動画・画像処理、各種クラウド連携などのための「セキュリティの穴」』、
言わば、大企業や「中小のうち大きな規模の会社のみ」、IT企業、セキュリティ企業、デザイン企業、広告企業、などの「セキュリティの穴」、
を埋める更新プログラム内容
(※つまり、事務系や小規模な事業所はほぼ無関係。そういうところは、メールURLなどのフィッシングやブラウザに保存したパスワードからの被害のほうが圧倒的に多いですし、今、急増しています。でもそれは「WindowsUpdateでは何1つ直りません」。)
===
しかも、WindowsUpdateは、以下のような対策の原因となるウィルスの侵入経路を、
「なにひとつ」「ひとっつも」「一切」潰せないです。
・怪しいタイトルのメール開かない。(発送しましたメールや銀行・カード関係のメールなど。)
・ヘッダなどを活用して詐欺かを判断。(全員で協力して)
・メールのURLを安易にクリックしない。
・HTML形式(HTML表示のタブなど)で絶対に開かない。
・メールの添付ファイルを安易に開かない。
・ブラウザの広告を絶対にクリックしない。
・uBlock OriginやLiteは必須アドインとして入れ、広告をできるだけブロック。
・ブラウザ内のフォーム(Webページ)とパスワードの保存設定厳禁。
・同期という同期は全部OFF(漏洩防止のため)。
・フリーウェアインストール厳禁。
・SNS厳禁(社用公式のみ)。
・Windowsアプリ、アップルのストア、使用厳禁。
・OneDrive、365、GoogleDrive、Dropbox、厳禁。
・個人のPCのDBネットワーク参加の禁止(専用の、SMB遮断ルーターにのみ無線接続)。
・マイクロソフトアカウントの無料サービスの利用厳禁。
========================================================
●以下、LANアダプタ2枚挿しPCの設定
(単純に挿しただけでは通信できません。
少しイレギュラーな感じの設定が要ります。)
何も無し(有線無線切断)
|
|
|
|
ルーター1(FTPサーバ×1台のみ)(C)
192.168.187.1----192.168.187.100
|
|
|
|
ルーター2(メール+Web専用PC郡:最新OS)(B) 別フロア無線ルーター4
192.168.55.1----192.168.55.100----------外部 無線 LAN(カスケードも何も無し)----→192.168.173.1(インターネットへ)
| (LANアダプタ2個挿し。
| 両方無線でも可。)
|
|
ルーター3(顧客DBその他ほとんどの作業のPC郡:旧OS可)(A)
192.168.0.1----192.168.0.100
1. イントラネット側LANアダプタ(例: 192.168.55.100)
項目 設定例 説明
IPアドレス 192.168.55.100 固定IPアドレス(例)
サブネットマスク 255.255.255.0 通常のクラスCマスク
デフォルトゲートウェイ 空欄 設定しない(ゲートウェイなし)
優先DNSサーバ 192.168.173.1 または
インターネット側のDNSサーバ イントラ側のアダプタでもDNSはインターネット側のものを指定可
代替DNSサーバ 8.8.8.8 など 代替DNS(Google DNSなど)
2. インターネット側LANアダプタ(例: 192.168.173.100)
項目 設定例 説明
IPアドレス 192.168.173.100 固定IPアドレス(例)
サブネットマスク 255.255.255.0 通常のクラスCマスク
デフォルトゲートウェイ 192.168.173.1 インターネットへのルータIPアドレス
優先DNSサーバ 192.168.173.1 またはISPのDNS インターネット接続に使うDNS
代替DNSサーバ 8.8.8.8など 代替DNS
コマンドプロンプトかPowerShellで以下のコマンドを実行。「-p」は永続的にそうする、ということ。メトリックは優先度高く自動設定される。
route add 192.168.187.0 mask 255.255.255.0 192.168.55.1 -p
ただし、route print を何度もやって、もし、その設定が不要なケーブル構成(素直なストレートなケーブル構成など)なら、不具合回避のために、
『 route delete 192.168.187.0 mask 255.255.255.0 192.168.55.1 』
というコマンドを実行する。
