ここから本文です

オフィスの無線LAN構築で絶対に押さえておくべきこと

@IT 7月28日(木)6時10分配信

●「無線LAN環境構築」現場の声

「セキュアで高速な無線LAN環境構築のために知っておくべき全て」と題し、企業の無線LAN環境構築における勘所を整理する本特集。第1回では、無線LAN環境の構築における重要なポイントとして、「セキュリティ」「管理性」の2点を挙げた。それを受け第2回では、サイバーディフェンスCHOへのインタビューを通じて、無線LANセキュリティの留意点を探った。第3回となる今回は、無線LANの「管理性」にフォーカスし、“最も近い”現場担当者の生の声を通じて、無線LAN導入、運用・管理のポイントをひもといていく。

●「私たちはいかにして無線LANに完全移行したか」――無線LAN導入のポイント経験論

 無線LAN環境構築の勘所を紹介する本特集だが、組織のネットワークに関する内情をつまびらかにしてくれる企業などはそう多くない。そこで本稿では、“最も身近な”ネットワーク担当者として、アイティメディア 総務部 石野博之氏に現場の生の声を聞いた。

 アイティメディアは2016年7月時点で従業員数約300人規模の組織だ。現在は業務環境のネットワークは全て無線化されており、オフィスではノートPCを持ち運ぶ社員たちの姿も目立つ。これまでに4度のオフィス移転(直近では2016年7月)を経験し、その都度ネットワーク環境を部分的に、ときに全面的に刷新してきた。そこにはどんな苦労があり、その結果としてどのようなノウハウが蓄積されてきたのだろうか?

 「今から7年前、2009年まで居を構えていた最初のオフィスでは、各机にローデッドでLANケーブルを配置した、よくある有線のネットワーク環境でした。そんな折、人員増加でオフィスのスペースが足りなくなり、近場に追加のオフィスを借りました。そこで初めて『無線LAN』という選択肢が出てきました」(石野氏)

 なぜ、オフィス拡張のタイミングで無線LANでのネットワーク構築が検討項目に挙がったのか? 石野氏は正直に「配線コストの削減が最大の理由でした」と述べる。当時、有線LAN環境の構築には、配線工事や機器の購入コストなどを全て含めると“1口1万円”程度が必要で、無線と比較すると割高だった。そこで追加のオフィスでは、そこに入る約40人の営業部員のみを対象に、無線LANを試験的に導入することに決めた。

 「無線LANを導入するとなるとやはり、通信の品質が問題になりました。当時はIEEE802.11nのドラフトが登場する前で、周波数帯としても2.4GHz利用が一般的でしたので、現在と比べればなおさらです。ただ、アイティメディアの場合、社内においてネットワーク遅延などにシビアなアプリケーションを使うケースはあまりないため、多少の不安定さは許容できると判断しました」(石野氏)

 そんな試験的な無線LAN導入の結果は「成功だった」(石野氏)という。当初懸念していた通信品質はほとんど問題にならず、むしろ「社内でノートPCの持ち歩きができる」という利便性が勝った。「この部分導入の結果を受け、『次にオフィスを移転するときには全面的に無線LANに移行しよう』という話が持ち上がるようになりました」(同氏)。

 そして2009年の移転において、全社的な無線LAN移行が本格的に実施されることになる。セキュリティの問題も俎上(そじょう)に載ったが、前回もあった通り、「無線LANのセキュリティについては、ある程度やることは決まっているため、大きく悩むようなことはなかった」(石野氏)。例えば通信の暗号化方式に関していえば、他の多くの組織も採用している「WPA2-AES」を適用することがすぐに決まった。

 また認証に関しては、それまでの有線環境でも行ってきた「端末の認証」と「人の認証」の組み合わせを引き続き採用することにした。より具体的に言えば、端末についてはMacアドレス認証を、人に関してはIEEE 802.1Xベースの認証方式をとり、ユーザーごとのVLAN切り替えを行っている。Macアドレス認証で端末を認証している理由については、「アイティメディアでは基本的に、『業務は会社貸与のPCで行うべき』という方針をとっているため、この方式を採用しています。ただし、申請制でBYODも一部許可はしています」(石野氏)とのことだ。

 なお、機器については、これらの要件を実現できるものの中から、できるだけ低コストで導入実績のあるものを採用した。また、無線アダプターのないデスクトップ端末などに対してはUSB接続型のアダプターを用意した。

●「無線LAN完全移行」の結果待ち構えていたもの……

 こうして実際に全社的な無線LAN環境への完全移行を行ったところ、先の試験導入とは打って変わって、「ネットワークにつながらないという声が頻出し、非常に苦労した」(石野氏)という。

 「当時はコントローラーのない無線アクセスポイント(以下、AP)で、規格はIEEE802.11n、周波数帯は2.4GHzを使っていたのですが、2.4GHzだと使えるチャンネル数が少なかった上に、コントロ―ラーがないので自動的なAPの振り分けなどもしてくれず、干渉が多発しました。また、APのファームウェアの異常で、『端末からは生きているように見えるAPが実は落ちてしまっている』といった障害も発生しました。当時の社員数は250人程度で、APは16個。オフィスの面積からすると十分な個数を設置していたのですが、それでも300台に満たない程度の端末を収容することが、実際には非常に難しいことなのだと分かりました」(同氏)

 そこで5GHzへの対応を急ぎ実施する必要があると考え、端末向けには5GHz対応のアダプターを用意し、AP側では2.4GHzを無効化した。その結果、端末数のキャパシティーの問題は解消されたという。また、このときに「AP1台当たりの最大接続端末数を絞り、メーカーが提示している推奨台数の下限に近い30台程度にする」という設定変更も併せて行った。「これは非常に効果がありました。現在も変えていない設定の1つです。社内ネットワークを無線LANのみで検討するなら、『2.4GHzを使わないこと』『AP1台当たりの接続端末数を絞ること』。安定した環境を作るには、経験上これらは必須条件だと考えています」(石野氏)。

 その後、2度目の移転時にはこのノウハウを生かし、「5GHzを利用し、先にAP1台当たりの接続端末数をあらかじめメーカー推奨の下限(30台)に設定する。その後で、オフィスの広さや想定される全接続端末数を考慮してAPの台数を決める」という手順で無線LAN環境の設計を行った。

 APの台数は移転前と同じ16台だったが、これは約500坪という当時のオフィス面積からすれば「多過ぎるほど」だという。「アイティメディアは有線/無線の併存環境ではなく、無線オンリーの環境ですので、無線LANに障害が発生すれば業務にクリティカルな影響が出てしまいます。そのため、過剰ともいえるほどの台数のAPを設置しています」(石野氏)。さらに念を入れ、2度目の移転時には業者に依頼して詳細なサイトサーベイも実施した。

 また、このときにはAPを制御する「コントローラー」も導入した。「IEEE802.11nの5GHzをデュアルチャンネルで使用する場合、9チャンネルが使用可能ですので、理論上は1つの空間に9台のAPを設置しても干渉することはありません。当然そのことは考慮してAPを配置しましたが、コントローラーを利用すると、さらに『近くにあるAPとできるだけ離れたチャンネルをAPに割り当てる』『AP1台当たりの接続端末数を自動調整する』といった制御を自動的に行ってくれるため、安定性が高まり、管理も楽になりました」(石野氏)。導入時に想定していたとはいえ、実際に使ってみて感じたコントローラーのメリットはやはり大きかったという。

●平時の運用のコツは?

 前述のように、オフィス拡張や2度の移転に合わせて無線LAN環境構築のノウハウを蓄積してきたアイティメディア。そのため、2016年7月の4度目のオフィス移転時は、「大きな苦労はほとんどなかった」(石野氏)という。変更点といえば、規格をIEEE802.11acにしたことや、APの増設を行ったくらいだ。サイトサーベイについても、前回の経験から、「APの台数が十分であれば大きな問題は起きない」ことが分かっていたため、自分たちで接続テストを行うにとどめた。AP台数に余裕を持たせることで、遮蔽物の影響もほとんど気にする必要がなくなるという。ただし、「引っ越し初日から業務をスタートできるように、クライアント側での設定変更を発生させないという点だけは注意した」(石野氏)。

 では、導入後の運用・管理面ではどのような点に工夫しているのだろうか? これについて石野氏は、「コントローラーの管理画面から、各種の設定を行ったり、端末の電波状況を含むステータス確認をしたりできるのですが、まず見ることはありません」と言う。移転初日など、障害が懸念されるタイミングでのチェックは行うが、それ以外の平時は、よほどのトラブルが起きたり、異常なログが出ていたりしない限り、管理画面から操作を行うことはほとんどないそうだ。

 「強いていえば、『Munin』(※)の画面を時々見る程度です。各APにどれだけの数の端末が接続されているのかといったことを、簡単に確認します。ただこの場合も、よほど接続が集中しているAPがあるとか、逆に接続端末の平均数が0になっている(=APが故障している可能性がある)など、目立つ動きがないかを見る程度です。基本的にはコントローラーが自動で制御してくれるので、普段の運用にはほとんど手間を掛けていません」(石野氏)

●注:Munin

オープンソースのサーバ監視ソフトウェア。アイティメディアではAPコントローラーの監視に使用している。

●無線LAN環境の構築/更改時のポイントは?

 最後に、これから無線LAN環境の新規導入、あるいは既存環境の更改を考えている組織に向けたアドバイスを聞いてみた。

 「アイティメディアの場合は、全員がノートPCを持っていて、会議室に運んでいくことも当たり前になっていますから、既に無線LAN文化が浸透しています。今さら有線にしても誰も喜ばないでしょう。ただ、現在有線LAN環境で業務を行っている企業で、特に問題がないのであれば、有線LANのままでいいと思います」(石野氏)

 新規格の登場や製品の進化により安定性や速度が向上したとはいえ、やはり通信の品質面で有線の方が優位であることに変わりはない。そういう意味では、業務に支障がない限りは有線を使い続けるという選択肢もあるだろう。では、端末の持ち運びなどのメリットを取り、無線LANの導入へ踏み切ろうとする組織の場合はどうか?

 「まず、新規に導入するなら特定部署などを対象に、有線/無線併存で部分導入した方がよいでしょう。規格は新しいものを使えば問題ありません。今ならIEEE802.11acですね。端末側もそれに対応したものを使い、空間内のトラフィックを最適化するようにします。

 認証方式は各企業のポリシーに依存しますから、『こうすべき』というものはありません。アイティメディアの場合は旧来IEEE 802.1Xというオープンな方式を採用していますが、オープンな方式はどのメーカーの製品にも対応できるメリットがある一方で、VLANや認証サーバの構築、コントローラー側での設定が必要になります。そういった手間も考慮しつつ、オープンなものを使うか、メーカー提供の方式を使うか、自社に最適な方式を採用するのが望ましいと思います」(石野氏)

 そして石野氏は、通信規格や認証方式よりも、「一番のポイントとなるのは、どれだけの人数、端末数が無線接続するのかという規模感」だと述べる。前述の通り、同氏はこれまでの経験上、「AP1台当たりの接続端末数を絞る」「AP台数には大きく余裕を持たせる」という点を重視している。「人やデバイスが将来増えることも想定して、AP台数には十分な余裕を持たせるのがよいでしょう。AP自体はそんなに高価なものではありませんから、そこは“ケチらない”ことをぜひともお勧めします」。ユーザーにとってネットワークは「つながっていて当たり前」のものだ。機器コストを節約して安定性を欠いてしまっては元も子もない。

 また、コントローラーの導入も選択肢の1つだ。「メーカーは問いませんが、コントローラーを導入すると、運用は確実に楽になります。認証サーバの設定やAPごとの設定など、各種の初期設定は多少大変ですが、ある程度ネットワークに関する知識・経験のある人であれば、やってやれないことではありません。ただ、知識・経験がない人は、SIに任せた方が無難でしょう」(石野氏)。最低限、APの台数や認証の方法などについての設計ができていれば、実際の設定作業そのものを外注しても、費用はそこまで高額にはならない。構築作業に自信がない、あるいはリソースを割けない組織の場合は、SIに設定作業を委託するのも手だ。

 ところで、最近はコントローラーなしで自律的な制御を行うタイプのAP製品もある。そういった製品についてはどうなのだろうか? 「そのような製品を使ってもいいと思います。1つ注意すべきポイントがあるとすれば、機能面やパフォーマンス面での違いです。実は、アイティメディアでもコントローラーを必要としない製品の導入を検討したことがあるのですが、当時の製品では、端末のMacアドレス認証と人の認証を二重で行うことができないと分かり、断念しました」(石野氏)。また、例えば通信のフィルタリングを行う場合、各APで行う場合とコントローラーで一括して行う場合とでは、計算リソースの差などから、コントローラーを用いる方が優位なのだという。

 「製品選定時は、自分たちが行いたい認証や運用の方法が可能な製品の中から、コストや導入実績の面で優れたものを選ぶとよいでしょう。また、SIに相談するときには信頼できる業者を見定めることも大切です。そして何より、無線LANの導入に当たっては、業務への影響を考えるのが第一です。無線LANを入れることがコミュニケーションの活性化や働きやすさにつながるのか。セキュリティや管理性などについて考えるのはその次の話です。社員が誰も必要としていないのであれば、無線LANを導入する意味はありません」(石野氏)

●関連特集:セキュアで高速な無線LAN環境構築のために知っておくべき全て

近年、無線LAN技術の革新とともに、従来をはるかに上回る通信速度が実現されている。多くの企業にとって、社内の無線機器・環境を根本的に見直すべき時期がやってきたといえるだろう。新たな無線LAN環境の構築・運用に当たって注意すべきポイントとは何なのだろうか? 無線LANにおいて忘れてはならない「セキュリティ」にも触れながら、網羅的に解説する。

[田尻浩規,@IT]

最終更新:7月28日(木)6時10分

@IT

TEDカンファレンスのプレゼンテーション動画

暗闇で光るサメと驚くほど美しい海洋生物たち
波のほんの数メートル下で、海洋生物学者であり、ナショナルジオグラフィックのエクスプローラーかつ写真家のデビッド・グルーバーは、素晴らしいものを発見しました。海の薄暗い青い光の中で様々な色の蛍光を発する驚くべき新しい海洋生物たちです。彼と一緒に生体蛍光のサメ、タツノオトシゴ、ウミガメ、その他の海洋生物を探し求める旅に出て、この光る生物たちがどのように私たちの脳への新たな理解を明らかにしたのかを探りましょう。[new]