オフィスネットワーク設計の基本｜Wi-Fi・有線・セグメント分割の考え方

オフィスネットワーク設計の重要性

オフィスのネットワーク環境は、業務の生産性とセキュリティに直結する重要な基盤です。私がコンサルティングを行う中小企業では、「ネットワークが遅い」「Wi-Fiが途切れる」「どこまでが社内ネットワークで、どこまでが外部なのかわからない」といった相談をよく受けます。

特に従業員数が増えたり、拠点が増えたりしたタイミングで、ネットワーク設計の見直しが必要になります。創業時に構築した簡易的なネットワークを使い続けていると、セキュリティリスクが高まり、トラブル時の原因特定も困難になります。

本記事では、オフィスネットワーク設計の基本から、Wi-Fiと有線LANの使い分け、セグメント分割によるセキュリティ向上、ゲストWi-Fiの分離、そして拠点増設時の拡張性まで、実例を交えて解説します。インフラ設計全般についてはインフラ設計入門もあわせてご覧ください。

オフィスネットワークの構成要素

オフィスネットワークは、いくつかの機器とレイヤーで構成されています。まずは基本的な構成要素を理解しましょう。

主要なネットワーク機器

ルーター（Router） インターネット回線と社内ネットワークを接続する機器です。外部からの通信を社内に振り分け（ルーティング）、また社内から外部への通信を中継します。多くの場合、NAT（Network Address Translation）機能により、社内の複数端末が1つのグローバルIPアドレスを共有してインターネットにアクセスします。

スイッチ（Switch） 有線LANで複数の機器を接続するための機器です。スイッチには、設定不要な「アンマネージドスイッチ」と、VLANやポート管理などの高度な設定が可能な「マネージドスイッチ」があります。

無線LANアクセスポイント（Wi-Fi AP） 無線LANを提供する機器です。PCやスマートフォンが無線で接続できます。家庭用の無線LANルーターとは異なり、業務用のアクセスポイントは複数台を連携させて広いエリアをカバーできます。

ファイアウォール（Firewall） 外部からの不正アクセスを防ぎ、社内ネットワークを保護する機器です。ルーターに内蔵されている場合もありますが、セキュリティを重視する場合は専用のファイアウォール機器を導入します。

ネットワークのレイヤー構成

企業ネットワークは、一般的に以下の3層構造で設計されます。

コア層（Core Layer） ネットワークの中心となる高速なバックボーンです。拠点間の接続や、データセンターとの接続など、大容量の通信を高速に処理します。中小企業では、コア層を省略して2層構成にすることも多いです。

ディストリビューション層（Distribution Layer） 各フロアや部門ごとのネットワークを集約する層です。VLANによるセグメント分割や、ルーティング、アクセス制御などを行います。

アクセス層（Access Layer） エンドユーザーの端末が直接接続される層です。有線LANのスイッチポートや、無線LANのアクセスポイントがこの層に該当します。

小規模オフィス（従業員数50名以下）では、ディストリビューション層とアクセス層を統合した2層構成で十分です。

Wi-Fiと有線LANの使い分け

オフィスでは、Wi-Fi（無線LAN）と有線LANを適切に使い分けることが重要です。

Wi-Fiが適している用途

メリット

配線不要で柔軟にレイアウト変更可能
スマートフォンやタブレットなど、有線接続できない機器に対応
従業員が席を移動しても接続可能

適している用途

PCでの通常業務（Webブラウジング、メール、文書作成など）
スマートフォン、タブレット
会議室での一時的な接続
来客用のゲストWi-Fi

有線LANが適している用途

メリット

安定した高速通信
無線の電波干渉がない
セキュリティ的に有利（物理的にケーブル接続が必要）

適している用途

サーバー、NAS（ネットワークストレージ）
デスクトップPC（位置が固定されている場合）
大容量ファイルを頻繁に扱う業務（動画編集、CADなど）
ネットワークプリンター、複合機
IP電話機

推奨する基本方針

デスクには有線LANポートを用意し、必要に応じて有線接続
ノートPCは通常Wi-Fiで運用し、大容量ファイル転送時のみ有線接続
サーバーやネットワーク機器は必ず有線接続

Wi-Fi規格の選定

Wi-Fiには複数の規格があり、速度やカバー範囲が異なります。

規格	通称	最大速度	周波数帯	リリース年
IEEE 802.11n	Wi-Fi 4	600Mbps	2.4GHz / 5GHz	2009年
IEEE 802.11ac	Wi-Fi 5	6.9Gbps	5GHz	2013年
IEEE 802.11ax	Wi-Fi 6	9.6Gbps	2.4GHz / 5GHz	2019年
IEEE 802.11ax	Wi-Fi 6E	9.6Gbps	6GHz	2020年

2026年時点での推奨 新規構築する場合は、Wi-Fi 6（802.11ax）対応のアクセスポイントを選定してください。Wi-Fi 6は、従来規格に比べて以下の利点があります。

多数の端末が同時接続しても速度低下しにくい（OFDMA、MU-MIMO）
電力効率が良く、スマートフォンのバッテリー消費が少ない（TWT）
セキュリティが強化されている（WPA3対応）

Wi-Fiのカバレッジ設計

オフィスの広さと構造に応じて、適切な台数のアクセスポイント（AP）を配置します。

APの設置台数の目安

1台のAPがカバーできる範囲は、障害物がない場合で半径15〜20m程度
壁や什器があると電波が減衰するため、実際には1フロア100〜150平米に1台が目安
同時接続端末数は、1台のAPあたり20〜30台程度を上限とする

配置のポイント

APは天井に設置し、見通しを確保
会議室の近くにAPを配置（会議室では一時的に多数の端末が接続される）
金属製の什器やサーバーラックの近くは避ける（電波が遮られる）
複数のAPを設置する場合、チャネル（周波数）が重ならないように調整

業務用のAPには、複数台を一元管理できるコントローラー機能を持つ製品（例：Cisco Meraki、Aruba Instant On、UniFi）を推奨します。

セグメント分割によるセキュリティ向上

オフィスネットワークを複数のセグメント（サブネット）に分割することで、セキュリティと管理性を向上させることができます。

セグメント分割とは

セグメント分割とは、ネットワークを論理的に複数の区画に分け、区画間の通信を制御することです。これにより、万一ある区画が攻撃を受けた場合でも、他の区画への影響を最小限に抑えられます。

セグメント分割には、物理的にスイッチを分ける方法と、VLAN（Virtual LAN）を使って論理的に分ける方法があります。中小企業では、VLANを使った分割が一般的です。

セグメント分割の基本パターン

中小企業のオフィスネットワークでは、以下のようなセグメント分割を推奨します。

1. ユーザーセグメント（業務用） 従業員のPCやスマートフォンが接続されるセグメントです。基幹システムやファイルサーバーにアクセスできます。

IPアドレス例: 192.168.10.0/24
VLAN ID: 10

2. サーバーセグメント 社内サーバーやNASが配置されるセグメントです。ユーザーセグメントからのアクセスのみ許可し、外部からの直接アクセスは遮断します。

IPアドレス例: 192.168.20.0/24
VLAN ID: 20

3. ゲストセグメント（ゲストWi-Fi） 来客や外部の協力会社の方が利用するWi-Fiのセグメントです。インターネットにのみアクセスでき、社内リソースには一切アクセスできません。

IPアドレス例: 192.168.30.0/24
VLAN ID: 30

4. 管理セグメント ネットワーク機器（ルーター、スイッチ、APなど）の管理用セグメントです。IT担当者のみがアクセスできるようにします。

IPアドレス例: 192.168.99.0/24
VLAN ID: 99

VLANの設定方法

VLANを設定するには、マネージドスイッチが必要です。以下、VLANの基本的な設定手順を説明します。

ステップ1: VLANの作成 スイッチの管理画面で、VLAN IDとVLAN名を定義します。

例：

VLAN 10: Users
VLAN 20: Servers
VLAN 30: Guest

ステップ2: ポートへのVLAN割り当て スイッチの各ポートに、どのVLANを割り当てるかを設定します。

ポート1〜16: VLAN 10（ユーザーPC接続）
ポート17〜20: VLAN 20（サーバー接続）
ポート21〜24: Trunk（複数VLANを通す）

ステップ3: ルーティングとアクセス制御 VLAN間の通信を制御するため、L3スイッチまたはルーターでルーティング設定を行います。

VLAN 10 → VLAN 20: 許可（ユーザーからサーバーへのアクセス）
VLAN 30 → VLAN 10, 20: 拒否（ゲストから社内への通信を遮断）
全VLAN → Internet: 許可

詳細なアクセス制御の設計については、アクセス制御の基本とベストプラクティスをご覧ください。

ゲストWi-Fiの分離

来客用のゲストWi-Fiは、社内ネットワークから完全に分離する必要があります。分離されていないと、来客の端末から社内のファイルサーバーやプリンターにアクセスできてしまう可能性があります。

ゲストWi-Fiの要件

インターネットにのみアクセス可能
社内ネットワーク（ファイルサーバー、業務システムなど）には一切アクセス不可
ゲスト利用者同士も相互にアクセス不可（クライアント分離機能）
認証はパスワード方式で、定期的にパスワード変更

実装方法

ゲストWi-Fi用のSSIDを作成し、VLAN 30に割り当て
VLAN 30からVLAN 10、VLAN 20への通信をファイアウォールで遮断
APのクライアント分離機能を有効化
ゲストWi-Fiのパスワードを月次で変更する運用を確立

帯域設計とQoS（Quality of Service）

オフィスネットワークでは、多数の端末が同時に通信するため、帯域不足が発生しやすくなります。また、Web会議やIP電話など、遅延やパケットロスに敏感なアプリケーションもあります。

帯域の見積もり

必要な帯域を見積もるには、以下の要素を考慮します。

インターネット回線の帯域

従業員1人あたり5〜10Mbpsを目安にする
例: 従業員50名 → 250〜500Mbps
Web会議が多い場合は、1人あたり10〜20Mbpsを確保

社内ネットワークの帯域

有線LAN: 1Gbps（ギガビットイーサネット）が標準
サーバーやNASへの接続: 可能であれば10Gbps（10ギガビットイーサネット）
Wi-Fi: Wi-Fi 6対応で1AP当たり実効速度500Mbps〜1Gbps程度

帯域不足が発生すると、ファイル転送が遅い、Web会議が途切れるなどの問題が生じます。導入時は余裕を持った帯域を確保してください。

QoSによる優先制御

QoS（Quality of Service）は、特定の通信を優先的に処理する仕組みです。帯域が不足した場合でも、重要な通信（Web会議、IP電話など）の品質を維持できます。

QoSで優先すべき通信

IP電話、Web会議（音声・映像）: 最優先
業務システムへのアクセス: 高優先
メール、Webブラウジング: 中優先
ファイルダウンロード、バックアップ: 低優先

QoSの設定例 ルーターやスイッチで、以下のような設定を行います。

IP電話のポート（例: UDP 5060, 16384-32767）を最優先
Web会議のトラフィック（例: Zoom, Microsoft Teams）を高優先
バックアップのトラフィックを低優先に設定し、帯域制限を適用

QoSの詳細な設定は機器によって異なるため、ベンダーのドキュメントを参照してください。

拠点増設時の拡張性

事業拡大に伴い、新しいオフィスを開設したり、フロアを増床したりする際には、ネットワークの拡張性を考慮した設計が重要です。

拡張性を考慮した設計ポイント

1. IPアドレス体系を計画的に設計する 将来の拡張を見越して、IPアドレスを計画的に割り当てます。

例：

本社: 192.168.0.0/16 の範囲を使用
- 1F: 192.168.1.0/24
- 2F: 192.168.2.0/24
- 3F: 192.168.3.0/24（将来の増床用に予約）
支社A: 192.168.10.0/24
支社B: 192.168.20.0/24

小さなサブネット（例: /24）を多数用意しておくことで、拠点やフロアごとに柔軟に割り当てられます。

2. VLANのID体系を統一する 全拠点で共通のVLAN ID体系を使うと、管理がしやすくなります。

例：

VLAN 10: ユーザーセグメント（全拠点共通）
VLAN 20: サーバーセグメント（全拠点共通）
VLAN 30: ゲストセグメント（全拠点共通）

3. マネージドスイッチを採用する アンマネージドスイッチは設定不要で手軽ですが、拡張性に限界があります。将来の拡張を考えるなら、最初からマネージドスイッチを採用してください。

4. スタック構成やリンクアグリゲーションを活用する 複数のスイッチを論理的に1台として扱う「スタック構成」や、複数のポートを束ねて帯域を拡張する「リンクアグリゲーション」を活用すると、拡張時の柔軟性が高まります。

拠点間接続の設計

複数拠点を持つ企業では、拠点間を安全に接続する必要があります。拠点間接続の方法については、VPNとリモートアクセスの構築ガイドで詳しく解説していますが、ここでは簡単に触れます。

拠点間接続の選択肢

専用線（広域イーサネット）: 高速・安定だが高コスト
VPN（IPsec）: インターネット経由で低コスト、設定が必要
SD-WAN: 複数回線を統合管理、拠点数が多い場合に有効

中小企業では、VPN（IPsec）による拠点間接続が一般的です。

ネットワーク機器の選定

オフィスネットワークを構築する際の機器選定のポイントを紹介します。

予算別の推奨構成

小規模オフィス（従業員数10〜20名）

ルーター: 家庭用ルーターでも可（Buffalo、NECなど）
スイッチ: アンマネージドスイッチ 8〜24ポート
Wi-Fi AP: 家庭用無線LANルーター1〜2台
予算: 5〜10万円程度

中規模オフィス（従業員数30〜100名）

ルーター: 業務用ルーター（Yamaha RTXシリーズ、Ciscoなど）
スイッチ: マネージドスイッチ 24〜48ポート
Wi-Fi AP: 業務用AP 2〜5台（Cisco Meraki、Aruba、UniFiなど）
ファイアウォール: UTM機器（FortiGate、SonicWallなど）
予算: 50〜150万円程度

大規模オフィス（従業員数100名以上）

ルーター: エンタープライズ向けルーター
スイッチ: L3スイッチ、マネージドスイッチをフロアごとに配置
Wi-Fi AP: 業務用AP 10台以上、コントローラーで一元管理
ファイアウォール: 高性能UTM機器、冗長構成
予算: 300万円〜

推奨ベンダー

ルーター

Yamaha（RTX830、RTX1220など）: 国内で高いシェア、サポートが充実
Cisco: エンタープライズ向け、高機能

スイッチ

Cisco Catalyst: 業界標準、エンタープライズ向け
NETGEAR: コストパフォーマンスが高い、中小企業向け
HP Aruba: 中〜大規模企業向け

Wi-Fi AP

Cisco Meraki: クラウド管理、導入が容易
Aruba Instant On: 中小企業向け、手頃な価格
Ubiquiti UniFi: コストパフォーマンスが非常に高い、設定にやや知識が必要

ファイアウォール / UTM

Fortinet FortiGate: 高性能、幅広いラインナップ
Palo Alto Networks: 高度な脅威防御機能
SonicWall: 中小企業向け

失敗しやすいポイント

オフィスネットワーク設計で、中小企業が陥りがちな失敗パターンを紹介します。

1. IPアドレスの重複

拠点ごとに独立してネットワークを構築した結果、IPアドレス体系が重複してしまい、後で拠点間VPNを構築する際にトラブルになるケースがあります。

対策

全社的なIPアドレス体系を最初に設計する
各拠点に異なるサブネットを割り当てる

2. ゲストWi-Fiの分離不足

ゲストWi-Fiと社内ネットワークが分離されておらず、来客の端末から社内ファイルサーバーにアクセスできてしまうケースがあります。

対策

ゲストWi-FiはVLANで分離し、社内リソースへのアクセスを遮断
定期的にアクセステストを実施

3. スイッチの管理パスワードが初期値のまま

マネージドスイッチの管理画面にアクセスするパスワードを、初期値（admin/adminなど）のままにしているケースがあります。これは重大なセキュリティリスクです。

対策

全てのネットワーク機器の管理パスワードを強固なものに変更
パスワードを定期的に変更する運用を確立

4. ケーブル配線の管理不足

LANケーブルがどこに繋がっているか把握できておらず、トラブル時に原因特定に時間がかかるケースがあります。

対策

LANケーブルにラベルを貼り、配線図を作成
スイッチのポート番号とケーブルの行き先を記録

5. Wi-Fiのチャネル干渉

複数のAPを設置する際に、チャネル（周波数）が重なってしまい、速度が低下するケースがあります。

対策

Wi-Fiの5GHz帯を優先的に使用（2.4GHz帯は電子レンジなどの干渉を受けやすい）
隣接するAPは異なるチャネルを使用
定期的にサイトサーベイ（電波調査）を実施

導入事例: セグメント分割とWi-Fi環境の刷新

ここでは、セグメント分割とWi-Fi環境を刷新した事例を紹介します。

企業プロフィール

業種: 不動産仲介業 従業員数: 80名拠点: 本社（3フロア）、支店3か所 IT体制: 情報システム担当1名（外部委託と併用）

課題

同社は創業時に構築した簡易的なネットワーク環境を10年以上使い続けており、以下の課題を抱えていました。

Wi-Fiが頻繁に途切れる（古い802.11n規格のAP1台のみ）
ゲストWi-Fiが社内ネットワークと分離されておらず、セキュリティリスクがある
全端末が同一セグメントに接続されており、ブロードキャストトラフィックが多い
サーバールームと執務エリアが同じネットワークで、万一の場合に被害が拡大するリスク

さらに、コロナ禍を機にWeb会議が急増し、既存のインターネット回線（100Mbps）では帯域不足が顕在化していました。

導入内容

ネットワーク設計の刷新 セグメント分割を前提とした設計に全面的に見直しました。

ユーザーセグメント（VLAN 10）: 従業員のPC、スマートフォン
サーバーセグメント（VLAN 20）: ファイルサーバー、業務システム
ゲストセグメント（VLAN 30）: 来客用Wi-Fi
管理セグメント（VLAN 99）: ネットワーク機器の管理

機器の更新

L3スイッチ: NETGEAR製のマネージドスイッチ（M4300シリーズ）を採用し、VLAN間ルーティングを実現
Wi-Fi AP: Aruba Instant Onを5台導入（各フロアに配置）、Wi-Fi 6対応
ファイアウォール: FortiGate 60Fを導入し、VLAN間のアクセス制御を実施
インターネット回線: 100Mbps → 1Gbpsに増強

アクセス制御の実装 FortiGateで以下のアクセス制御ルールを設定しました。

VLAN 10（ユーザー）→ VLAN 20（サーバー）: 業務時間帯のみ許可
VLAN 30（ゲスト）→ VLAN 10, 20: 全て拒否
全VLAN → Internet: 許可（ただし、業務外サイトはURLフィルタリング）

Wi-Fi環境の最適化

各APは5GHz帯の異なるチャネルに設定
SSID「CompanyWiFi」（VLAN 10）と「GuestWiFi」（VLAN 30）を分離
ゲストWi-Fiはクライアント分離を有効化

成果

セキュリティ向上 ゲストWi-Fiと社内ネットワークを分離したことで、来客の端末から社内リソースにアクセスされるリスクを排除しました。また、サーバーセグメントを分離したことで、万一ユーザー端末がマルウェアに感染しても、サーバーへの被害を最小限に抑えられるようになりました。

通信速度の改善 Wi-Fi 6対応のAPを5台配置したことで、全フロアで安定した無線接続が可能になりました。また、インターネット回線を1Gbpsに増強したことで、Web会議中の映像の途切れが解消しました。

従業員からは「Wi-Fiが速くなった」「会議中に映像が止まらなくなった」との声が多数寄せられました。

トラブル対応の効率化 セグメント分割により、トラブルの影響範囲を限定できるようになりました。例えば、あるフロアでネットワークトラブルが発生しても、他のフロアには影響が及びません。また、スイッチのポート管理により、どの端末がどこに接続されているかが可視化され、トラブル時の原因特定が迅速化しました。

運用のポイント

ネットワーク機器の管理は、外部のSIerに保守契約を結び、月次でログをレビューする体制を整えました。また、Wi-Fiのパスワード（ゲスト用）は四半期ごとに変更する運用を確立しました。

従業員向けには、「会議室ではWi-Fi接続、デスクでは有線接続」という使い分けを推奨し、帯域の有効活用を図っています。

まとめ

オフィスネットワーク設計は、業務の生産性とセキュリティに直結する重要な取り組みです。本記事のポイントをまとめます。

Wi-Fiと有線LANの使い分け

固定設置のサーバーや機器は有線LAN
ノートPCやスマートフォンはWi-Fi
Wi-Fi 6対応のAPを採用し、適切な台数を配置

セグメント分割

ユーザー、サーバー、ゲスト、管理の4セグメントを基本とする
VLANで論理的に分割し、マネージドスイッチで管理
ゲストWi-Fiは社内ネットワークから完全分離

帯域設計

従業員1人あたり5〜10Mbpsを目安にインターネット回線を選定
QoSでWeb会議やIP電話を優先

拡張性

IPアドレス体系を計画的に設計
マネージドスイッチを採用し、将来の拡張に備える

機器選定

予算と規模に応じて、業務用の機器を選定
保守契約を結び、トラブル時のサポート体制を確保

オフィスネットワークは、一度構築すると長期間使い続けることになります。最初の設計が肝心です。不明点があれば、SIerやベンダーのサポートを活用しながら、自社に最適なネットワーク環境を構築してください。