JV 現場ネットワークガイドライン

JV 現場ネットワークガイドライン
第 1 版
2000 年 5 月
大林組・鹿島・清水建設・大成建設・竹中工務店
JV 現場ネットワークガイドライン検討会
1
目
次
1. はじめに......................................................... 2
1.1 ガイドライン作成のねらい ................................................. 2
1.2 ガイドラインの位置付け ................................................... 2
1.3 基本的な考え方 ........................................................... 2
1.4 ガイドラインの範囲 ....................................................... 3
1.5 展開について ............................................................. 3
1.6 改定について ............................................................. 3
2.ネットワーク構成 ................................................. 4
2.1 JV 現場ネットワークの要件 ................................................ 4
2.2 ネットワークの構成規則 ................................................... 4
2.3 ネットワーク(IP)アドレスの採番 ......................................... 5
2.4 発注者及び協力会社と情報共有するサーバの設置 ............................. 5
3.ネットワーク維持管理 ............................................. 8
3.1 ネットワーク管理者の選定 ................................................. 8
3.2 ネットワーク管理者の役割 ................................................. 8
3.3 各社ネットワーク担当の役割 ............................................... 8
3.4 費用負担 ................................................................. 9
4.JV 現場ネットワークのセキュリティ ................................ 10
4.1 JV 現場内のパソコンに格納しているデータのセキュリティ ................... 10
4.2 JV 構成会社へ接続する場合のセキュリティ ................................. 10
4.3 コンピュータウィルス蔓延の防止 .......................................... 11
4.4 JV 構成会社間の遵守事項 ................................................. 11
5.付録 ............................................................ 12
5.1 管理資料雛型 ............................................................ 12
Copyright © 2000, Kajima, Obayashi, Shimizu, Taisei, and Takenaka
1
2
1.はじめに
1.1
ガイドライン作成のねらい
近年の情報技術の発展を受け電子的な情報交換を行うベースとして、企業内ネットワー
クの構築と企業間においてはインターネットの活用が進んでいる。これらは情報流通を飛躍
的に向上させるものであり建設現場に導入することに論をまたない。これは、複数企業にて
構成される JV 現場についても同様である。
ここで JV 現場におけるネットワークの要件を整理すると以下の様になる。
・ JV 現場内での電子的な情報交換を円滑に行う
・ JV 構成員は自社の企業内ネットワークに接続できる
・ インターネット接続を行い発注者及び協力会社との電子的な情報交換を行う
これらを実現するにあたっては各構成会社の企業内ネットワークとインターネットへの
接続とが必要となる。企業内ネットワークは接続するものを限定する閉じた(クローズド)
ネットワークであり、この規定はセキュリティポリシーとしても示されるが企業毎に独自に
作成されるものである。一方、インターネットは個人・企業を問わずどこからでも接続でき
る開いた(オープン)ネットワークであり、セキュリティに関する言及はない。
本ガイドラインの目的は上述の JV 現場ネットワークの要件を満足し、かつ、複数のネッ
トワークに接続する JV 現場で構築されるネットワークのあり方を示すことにある。
1.2
ガイドラインの位置付け
社団法人日本土木工業協会では CALS 検討特別委員会 CALS 検討部会より「CALS へ向けた
JV 現場ネットワークの構築と運用( 2000 年 3 月)」という報告書を示している。ここでは建
設省の推進する建設 CALS/EC アクションプログラムに対応するため JV 現場ネットワークの
みならずインターネットを利用した情報共有のあり方が示されている。
本ガイドラインはこの成果を踏まえ、土木と建築を合せて一般的な JV 現場のネットワー
ク構築に簡便に適用できる実用的なガイドラインを目指して、建設五社(大林組、鹿島、清
水建設、大成建設、竹中工務店)の企業内ネットワーク担当が検討を進めたものである。
1.3
基本的な考え方
本ガイドラインでは「JV 現場内での情報共有」を第一として位置付ける。発注者及び構
成会社との情報交換を行うには、JV 現場内で必要な情報が独立した企業体として円滑にや
りとりされていることが前提となる。このもとに JV 現場ネットワークの外部接続として「各
企業から JV に派遣された構成員の自社への接続方法」と「発注者及び協力会社との情報交
換」を考えるものとする。
また、本ガイドラインにおいては情報技術の時流に沿った一般的なネットワーク技術を
採用し、JV 現場への導入を容易にすることに努めている。簡素な構成にし維持管理を合せ
Copyright © 2000, Kajima, Obayashi, Shimizu, Taisei, and Takenaka
2
3
てトータルコストの削減を目指すものである。
1.4
ガイドラインの範囲
ガイドラインの対象とするものは、現実解としての JV 現場のネットワーク構成とそこで
のセキュリティの考え方、維持管理方法である。
建設 CALS/EC 等で注目される「発注者及び協力会社との情報交換」の手段としては電子
メール及びインターネット上のウェブサーバを利用する方法と JV 現場内に情報公開用のサ
ーバを設置する方法を含めている。但し、交換する情報の特質(図面のような大容量データ
から受発注処理のトランザクションデータまで様々)に応じてどのようなサービスを用いる
べきかなど建設 CALS/EC の運用に関連する事項については触れないこととした。
1.5
展開について
本ガイドラインの展開については、ガイドライン作成に参画した建設五社が幹事会社を
務める JV 現場より推進に努め、協会等の第三者機関はもとより、主旨を同じくする建設業
各社に広く呼びかけるものとする。
1.6
改定について
技術革新の著しい分野であり定期的なガイドラインの見直し作業が必要となる。利用す
る情報技術の進歩あるいは利用形態の変化等に合わせ、ガイドラインの改定を以って随時対
応していくことを建設五社にて申し合わせた。
また、今後の改定に関しては、展開状況と合せて、関連する協会等の第三者機関または
本ガイドラインに合意する企業からの選出メンバーによる作業とする。
注)JV現場内の情報交換及び情報共有について
本ガイドラインで目指すJV現場内の情報共有はJV工事に関わる設計図書及び施工管
理情報等を対象として、JV工事の生産性向上に寄与させるためのものである。
ネットワークは情報の内容に関わらず情報流通を効率化する手段であるが、ガイドライン
の適用にあたっては独占禁止法を遵守し、違反することを固く禁止する。
Copyright © 2000, Kajima, Obayashi, Shimizu, Taisei, and Takenaka
3
4
2.ネットワーク構成
2.1
JV 現場ネットワークの要件
・ JV 現場内にて情報共有を行う
・ 各構成会社との接続に際して必要なセキュリティを確保する
・ 発注者及び協力会社との情報交換に際して必要なセキュリティを確保する
・ ネットワーク維持管理の簡素化を図る
2.2
ネットワークの構成規則
(1) ネットワークセグメント
JV 現場内にて情報共有の円滑化と維持管理の簡素化を図るためには、1セグメント
とする事が望ましい。但し、発注者他からより強固なセキュリティを要請される場合、
また、規模が大きく接続機器が多くなるなどの場合には複数セグメントにするなど別
途構成を検討する。
(2) 通信プロトコル
共通の通信プロトコルは TCP/IP とする。但し、クライアント機器及びサーバ機器
の基本ソフトウェア(OS)は問わない。
(3) 各構成会社への接続
各構成会社への接続方法は、商用ダイヤルアップ網、インターネット、インターネ
ット VPN、公衆回線によるリモートアクセスサービス(RAS)接続、専用線など、その
方法は問わない。
JV 現場から各構成会社に向かう接続ではそれぞれの社員だけをフィルタリングし
て接続するが、この手段については各社の企業内ネットワーク内に構築した仕組みを
用いる。また、各構成会社から JV 現場へと向かう接続については不正アクセス及び
不必要な通信を防ぐために接続制限を行う。
(4)電子メール及びインターネット上のウェブサーバへの接続
発注者及び協力会社他と情報交換するための JV 現場外との電子メール及び発注者
ウェブサーバの閲覧などについては、各構成会社に接続する通信回線を用いる。
各構成会社に商用ダイヤルアップ網、公衆回線による RAS 接続、専用線を用いて
接続している場合は、それぞれの企業経由でインターネットに接続する。インターネ
ット及びインターネット VPN を用いて接続している場合は、その回線で直接インター
ネットに接続する。インターネットに常時接続する場合はインターネットからのアク
セス防止対策を施す(2.4(1)参照)。
(5)無線 LAN
無線 LAN については技術的に未熟で維持管理に負担がかかると共に傍受対策が別
途必要になるなどセキュリティ上の不安(問題)がクリアされるまで利用しない。
Copyright © 2000, Kajima, Obayashi, Shimizu, Taisei, and Takenaka
4
5
A社
B社
192.168.1.50∼59
C社
192.168.1.100∼109
構成会社A
構成会社B
Dial-up
Router
192.168.1.110∼119
構成会社C
Dial-up
Router
TA
or
Modem
192.168.1.0/24
192.168.1.200∼209
共有プリンタ
共有サーバ
※アドレスは、仮番。
図1. JV 現場におけるネットワーク構成例
2.3
ネットワーク(IP)アドレスの採番
IP アドレス採番は前述の構成規則に比べ JV 現場の諸事情により柔軟に対処可能なもので
あるが、ネットワーク構築を効率化するために現実的な方法を提示する。
・ プライベートアドレスのクラスCを採用
ほとんどの JV 現場のクライアント数が 254 台以下であることから、その範囲で自
由な IP アドレス採番が許されたクラスC(192.168.nnn.mmm: nnn,mmm=0,1,2,,,254)
を採用する。クライアントの増加及びより強固なセキュリティの要請などで複数セグ
メントにする場合は、それぞれのセグメントに異なるクラスCを割当て、経路制御装
置(ルータ等)を用いて接続する。
・ 各構成会社の IP アドレス体系との整合
各構成会社に接続する際にはその接続を行うルータの持つアドレス変換機能(NAT
機能)を各社の IP アドレス体系との整合をとる。これによりどの JV 現場にも同じア
ドレス体系が用いられ、ネットワーク構築の簡素化に貢献する。
・ JV 現場内での動的な IP アドレスの付与(DHCP 機能の利用)
構成比率上位会社から優先権を持って 1 セグメントにつき 1 社のみ DHCP 機能を利
用可能とする。これ以外は静的に IP アドレスを付与していく。但し、DHCP 機能が何
らかのネットワーク障害を誘発する場合は、直ちに DHCP 機能を停止する。
・ IP アドレスは構成会社毎に「10」単位づつ配布する
連番にすることにより、各構成会社との接続及び DHCP 機能の構築作業と IP アドレ
Copyright © 2000, Kajima, Obayashi, Shimizu, Taisei, and Takenaka
5
6
ス管理の簡素化が図れる。
3 社からなる JV 現場とし各構成会社のクライアント台数がそれぞれ 10 台未満からなるも
のを想定し(図1参照)上述の採番方法に従って IP アドレス採番を行った例を以下に示す。
ここでは構成会社Aと構成会社Bはダイヤルアップルータにより自社との接続を、構成会社
Cはターミナルアダプタ(TA もしくはモデム)によるダイヤルアップ接続を行うものとし
ている。
表1.JV 現場ネットワークにおけるネットワーク(IP)アドレス採番例
IP アドレス
192.168.1.50
192.168.1.51
192.168.1.58
192.168.1.100
192.168.1.10X
192.168.1.10X
192.168.1.10X
192.168.1.110
192.168.1.200
192.168.1.201
利用機器
ダイヤルアップルータ
パソコン
パソコン
ダイヤルアップルータ
パソコン
パソコン
パソコン
パソコン
ファイルサーバ
ネットワークプリンタ
所属
構成会社A
A社員1
A社員2
構成会社B
B社員1
B社員2
B社員3
C社、社員
JV
JV
採番
−
固定
固定
−
DHCP
DHCP
DHCP
固定
固定
固定
備考
DHCP サーバ
101∼103 の間で採番
TA による接続
−
−
注)その他のネットワークパラメータ
・デフォルトゲートウェイ:各構成会社のダイヤルアップルータの IP アドレス
(TA の場合は不要)
・サブネットマスク:255.255.255.0
・DNS サーバ:各構成会社が指定する DNS サーバの IP アドレス
(作業所内の名前解決は、ブロードキャストあるいは hosts.ファイルによる)
2.4
発注者及び協力会社と情報共有するサーバの設置
発注者及び協力会社との情報交換に電子メールに加えて情報共有サーバを準備すること
で CALS/EC に柔軟に対応することができる。
(1)JV 現場内に設置する場合
インターネット回線を新たに準備し JV 現場ネットワークとインターネットの間に
ファイアーウォールを設置する。インターネットから JV 現場内へのアクセスは禁止
する。情報公開サーバはファイアーウォールの外側あるいは非武装地帯(DMZ)と呼
ばれる位置に配置する。情報公開サーバに対するインターネットから接続をどこまで
許容するかについては別途協議する。
Copyright © 2000, Kajima, Obayashi, Shimizu, Taisei, and Takenaka
6
7
a.JV作業所に公開サーバを設置
B社
A社
192.168.1.50∼59
C社
192.168.1.100∼109
構成会社A
構成会社C192.168.1.110∼119
構成会社B
Dial-up
Router
Dial-up
Router
TA
or
Modem
192.168.1.230
ファイヤ
ウォール
インターネット
(DMZ)
192.168.1.200∼209
共有プリンタ 共有サーバ
WWW
※アドレスは、仮番。
図2.情報公開サーバを設置した JV 現場ネットワーク構成例
(2)発注者、構成会社またプロバイダー(ISP)に設置する場合
発注者もしくは構成会社が提供するインターネット上の情報公開サーバを用いる
他にも ISP によるホスティングあるいはハウジングと呼ばれるサービスを利用してイ
ンターネット上に情報公開サーバを準備することができる。いずれも、JV 現場からは
インターネット上のウェブサーバへの接続と同等であり、各構成会社に接続する回線
を経由して利用できる。
b.ISPにホスティング
インターネット
公開
データ
A社
B社
C社
発注者
もしくは
協力会社
JV現場
図3.外部の情報公開サーバを利用する JV 現場ネットワーク
Copyright © 2000, Kajima, Obayashi, Shimizu, Taisei, and Takenaka
7
8
3.ネットワーク維持管理
3.1
ネットワーク管理者の選定
JV 現場ネットワークの構築時には構成会社間のネットワーク構築方法またはセキュリテ
ィポリシーの擦り合わせが必要となり、また、運営が始まった後もネットワーク障害等の際
には誰が対処するのかの問題の切り分けが必要となる。これら維持管理作業を円滑に進める
ために JV 現場毎にネットワーク管理者と各構成会社のネットワーク担当を定める。
各社ネットワーク担当については各社情報システム部門または本支店関係部門の担当者
を割当てることも考えられるが、これらを代表するネットワーク管理者については JV 現場
内に担当をおくのが好ましい。
表2.各社ネットワーク担当一覧の例
構成会社
構成会社A
構成会社B
構成会社C
3.2
氏名
鹿島 太郎
清水 次郎
大林 三郎
連絡先(電子メール)
[email protected]
[email protected]
[email protected]
備考
ネットワーク管理者
ネットワーク管理者の役割
・ 機器管理
JV 現場にて共有する機器について、導入手配及び障害時の連絡窓口となる。
・ ネットワーク(IP)アドレス管理
各社への IP アドレスの割当て(発行)を行う。IP アドレスを管理するにあたって
は付与した IP アドレス、パソコン(機種/ノード名)等の機器名、それらの所属ま
たは使用者を文書とする(2.3(1)参照)。また、機器の追加など必要に応じて
IP アドレスの発行/削除を行う。
・ ネットワーク障害対応
JV 現場内でネットワークトラブルが発生した場合に障害の連絡窓口となりどこに
連絡するかを判断する。但し、各構成会社が導入した通信機器については各社ネット
ワーク担当がその責を担う。
・ 情報公開サーバの管理
JV 現場内にインターネットに接続される情報公開(共有)サーバの設置する場合は、
プロバイダー(ISP)との連絡とファイアーウォール等のセキュリティ機器の管理を
行う。
3.3
各社ネットワーク担当の役割
・ 機器管理
各構成会社が導入する機器については各社ネットワーク担当が窓口となり、導入手
Copyright © 2000, Kajima, Obayashi, Shimizu, Taisei, and Takenaka
8
9
配及び障害時の連絡窓口となる。
・ ネットワーク障害対応
各構成会社が導入したルータ等のした通信機器について障害の連絡窓口となる。新
規にネットワークに接続する機器については必ずネットワーク管理者に申請する。
3.4
費用負担
パソコン、ネットワーク及びその関連機器など導入費用、また、通信費、保守費、障害対
応など運用費用については、共通原価で負担すべき費用と構成会社それぞれが単独経費で負
担すべき費用とを明確に定めておく必要がある。これらについては経理処理の取決めの中で
明らかにされるものであり、JV 現場ネットワークの運用ではこれを受けて適切な費用処理
を行うこととする。
以下に機器導入を幹事会社がとりまとめる場合と各構成会社が持ち寄る場合について、JV
共通で使用されるものを「共通原価」に各構成会社で使用するものを「構成会社」に振り分
けた費用負担のパターンを事例として示す。
表3.費用分担の2つのパターン(事例)
ケース
項目
ハード
ソフト
通
信
サポート
JV(幹事会社)から機 各社機器持込み、独
器貸与の場合
自ソフト導入の場合
費用負担
費用負担
パソコン、モニター
共通原価
構成会社
各社接続専用パソコン
構成会社
−
TA,モデム
共通原価
構成会社
ルータ
共通原価
構成会社
サーバ
共通原価
共通原価
プリンター
共通原価
共通原価
プロッター
共通原価
共通原価
JV内共通ソフト
共通原価
−
構成会社独自ソフト
−
構成会社
LAN配線
共通原価
共通原価
通信回線
共通原価
共通原価
通信設定
共通原価
構成会社
(プロバイダー)
構成会社
構成会社
保守契約
共通原価
構成会社
Copyright © 2000, Kajima, Obayashi, Shimizu, Taisei, and Takenaka
9
10
4.JV 現場ネットワークのセキュリティ
JV 現場ネットワークでは異なるセキュリティの考え方を持つ複数の企業から派遣された
JV 構成員が物理的にひとつのネットワークに同居することとなる。JV 現場内のデータ、各
構成会社への接続、コンピュータウィルス対策の 3 つの視点からセキュリティ対策をまとめ
ると共に、JV 現場ネットワークの活用を進めるために各構成会社が合意すべき遵守事項に
ついて述べる。
4.1
JV 現場内のパソコンに格納しているデータのセキュリティ
各構成会社のパソコンが同一ネットワークで接続されるため、他社のデータの盗聴・破
壊・改ざんは容易なものとなる。それらを防止するため下記の対策を行う必要がある。
・ サーバ共有ディレクトリのアクセス管理
(1)サーバの各資源を各企業内のみアクセスできる資源と JV 全体でアクセスできる
資源に分け、サーバ機能を用いてアクセス制御を行う。
(2)アクセス制御方法及びサーバの共有ルールは JV ネットワーク管理者が JV 現場担
当者と協議して決定する。
・ パスワードによる開封制限、暗号化
(1)ワープロや表計算ソフトのパスワードによる開封制限機能や、専用のファイル暗
号化ツールを利用してデータの盗聴・改ざんを防ぐ。
(2)パスワードは定期的に変更する。
外部媒体に保存し、安全な場所に保管する
(3)パソコンを共有LANに接続している限り、ローカルディスクのセキュリティを
十分確保することは難しい。セキュリティレベルの高いデータは、フロッピーデ
ィスクやMO等の外部媒体に保存し、媒体は安全な場所に保管する。
これらの対策をどう使うかはデータの性質やセキュリティレベルに応じて異なるため、デ
ータの所有者自身がデータの性質を見極め、各々の責任において適切な対策を施す必要があ
る。
4.2
JV 構成会社へ接続する場合のセキュリティ
JV 現場内の各構成会社のパソコンを同一ネットワークで接続した場合、各構成会社の本
支店等へ接続する際のセキュリティが脆弱となる。
これについては JV 現場ネットワークの機器設定によってある程度防止することも可能で
あるが、現場事務所から各構成会社へアクセスする方法は各社様々であり、ルール化する事
が困難なため,各構成会社は自社のネットワークの入口でセキュリティを強化するように対
策を施すべきである。
Copyright © 2000, Kajima, Obayashi, Shimizu, Taisei, and Takenaka
10
11
4.3
コンピュータウィルス蔓延の防止
JV 現場事務所内の各構成会社のパソコンを同一ネットワークに接続することにより、ネ
ットワークを介してウィルス感染が広がる危険性が生じるため、以下の対策を行う必要があ
る。
・ ウィルス対策ソフト導入の徹底と管理
(1)JV 現場事務所内の全てのパソコンにウィルス対策ソフトを導入する
(2)ウィルス定義ファイルを最新の状態にする
(3)ウィルスを発見した時は、すみやかにウィルス対策ソフトを用いて駆除する
(4)JV 現場事務所内ネットワーク管理者はウィルス管理台帳を作成し、ウィルス定
義ファイルの最新状態の維持と定期的なウィルスチェックを徹底する。
4.4
JV 構成会社間の遵守事項
いままで述べたようなセキュリティ対策を施しても、内部から悪意を持って破ろうとすれ
ば破られる可能性は残る。そこで JV 構成会社間で下記事項の遵守を徹底する必要がある。
また、必要に応じて JV 運営委員会等で罰則を含め取決めを行う事も検討する。
・ JV 内他社固有データの盗難・閲覧・改ざんの禁止
・ JV 内固有データの不正使用の禁止
・ 他社構成会社への侵入禁止
Copyright © 2000, Kajima, Obayashi, Shimizu, Taisei, and Takenaka
11
12
5.付録
5.1
JV 現場ネットワーク管理資料雛型
ネットワーク維持管理に用いる以下の管理資料の雛型を添付する。
(1)ネットワークアドレス一覧表
(2)各社ネットワーク担当一覧表
(3)情報処理関連設備の費用分担表
Copyright © 2000, Kajima, Obayashi, Shimizu, Taisei, and Takenaka
12
13
ネットワークアドレス一覧表
IP アドレス
192.168.
.
192.168.
.
192.168.
.
192.168.
.
192.168.
.
192.168.
.
192.168.
.
192.168.
.
192.168.
.
192.168.
.
192.168.
.
192.168.
.
192.168.
.
192.168.
.
192.168.
.
192.168.
.
192.168.
.
192.168.
.
192.168.
.
192.168.
.
利用機器
所属
採番方式
備考
注)その他のネットワークパラメータ
・デフォルトゲートウェイ:各構成会社のダイヤルアップルータの IP アドレス
(TAの場合は不要)
・サブネットマスク:255.255.255.0
・DNS サーバ:各構成会社が指定する DNS サーバの IP アドレス
(作業所内の名前解決は、ブロードキャストあるいは hosts.ファイルによる)
項目説明)
・ IP アドレス:C クラスのプライベートアドレスを利用する
・
利用機器:ダイヤルアップルータ等のネットワーク機器、パソコン、ファイ
ルサーバ、ネットワークプリンタ、公開ウェブサーバなど
・ 所属:構成会社、JV、パソコンの場合は利用者を記入する
・ 採番方式:固定/DHCP/−(関係なし)
・ 備考:パソコンの場合に「TA による接続」等のネットワーク条件を付記する
Copyright © 2000, Kajima, Obayashi, Shimizu, Taisei, and Takenaka
13
14
各社ネットワーク担当一覧表
構成会社
氏名
連絡先(電子メール)
備考
ネットワーク管理者
項目説明)
・ 構成会社、氏名、連絡先:各社ネットワーク担当を記入する
・ 備考:JV 現場のネットワーク管理者を明記する
Copyright © 2000, Kajima, Obayashi, Shimizu, Taisei, and Takenaka
14
15
情報処理関連設備の費用分担表
項目
ハード
ソフト
通
信
サポート
費用負担
パソコン、モニター
共通原価/構成会社
各社接続専用パソコン
共通原価/構成会社
TA,モデム
共通原価/構成会社
ルータ
共通原価/構成会社
サーバ
共通原価/構成会社
プリンター
共通原価/構成会社
プロッター
共通原価/構成会社
JV内共通ソフト
共通原価/構成会社
構成会社独自ソフト
共通原価/構成会社
LAN配線
共通原価/構成会社
通信回線
共通原価/構成会社
通信設定
共通原価/構成会社
(プロバイダー)
共通原価/構成会社
保守契約
共通原価/構成会社
費用(円)
項目説明)
・ 費用負担:それぞれについて「共通原価/構成会社」を選択する
・ 費用:それぞれの設備の月額または一時費用
Copyright © 2000, Kajima, Obayashi, Shimizu, Taisei, and Takenaka
15