この記事の要点

イントラネット (Intranet) = 組織内に閉じたプライベートネットワーク インターネット (公開) との違い: 外部から到達不可、Active Directory / LDAP で認証、社内 DNS で名前解決 リモートからは VPN で接続するのが古典。最近は Zero Trust (BeyondCorp 型) へ移行 構成要素: ファイルサーバ / 社内ポータル / Wiki (Confluence) / グループウェア / 業務システム エクストラネット = 取引先など外部パートナーに一部公開する企業ネットワーク

イントラネットとは

イントラネット (Intranet) は、組織 (主に企業) 内部だけで使われる閉じたネットワーク、およびその上で動く社内向け Web サービスの総称です。「内側 (intra) のネット」という言葉どおり、インターネット (公開ネット) と隔離されているのが本質。

インターネット / エクストラネットとの違い

項目	インターネット	イントラネット	エクストラネット
範囲	全世界	組織内のみ	組織 + 取引先など限定外部
到達性	誰でも	社内 LAN / VPN 経由	認証付きで部分公開
IP アドレス	グローバル	プライベート	VPN / 限定公開ドメイン
認証	サイト次第	AD / LDAP / SSO	パートナー用アカウント
例	Google, Yahoo	社内ポータル, 経費精算	サプライヤー注文ポータル

典型的なイントラネット構成

[インターネット]
      │
   [FW / UTM]
      │
   [DMZ]──── Web サーバ (公開), メールゲートウェイ
      │
   ┌──────────────────────────┐
   │   社内 LAN (10.0.0.0/16) │
   ├──────────────────────────┤
   │  ・社内 DNS              │
   │  ・Active Directory       │
   │  ・ファイルサーバ        │
   │  ・社内ポータル (Wiki)   │
   │  ・グループウェア        │
   │  ・業務システム          │
   │  ・基幹系 (ERP)          │
   │  ・印刷サーバ            │
   └──────────────────────────┘
      │
   [Wi-Fi AP]──→ 社員端末 (PC / スマホ)
   [VPN GW]──→ 在宅 / 出張社員

プライベート IP アドレス

イントラネットではプライベート IP アドレス (RFC 1918) を使います:

クラス	範囲	規模
10.0.0.0/8	10.0.0.0 〜 10.255.255.255	大規模 (約 1670 万ホスト)
172.16.0.0/12	172.16.0.0 〜 172.31.255.255	中規模 (約 105 万ホスト)
192.168.0.0/16	192.168.0.0 〜 192.168.255.255	小規模 (約 6.5 万ホスト)

これらはインターネット上ではルーティングされないので、外向き通信は NAT (Network Address Translation) でグローバル IP に変換されます。

認証基盤: Active Directory / LDAP

イントラネットでは個別アプリごとのログインではなく、シングルサインオン (SSO) で統一するのが普通。Windows 環境では Active Directory (AD)、UNIX/Linux なら OpenLDAP や FreeIPA が定番:

[社員 PC]
  ↓ ログイン (alice / password)
[Active Directory ドメインコントローラ]
  ├─ ユーザ情報 (cn=Alice, ou=Sales, dc=example, dc=com)
  ├─ グループ情報 (Sales-Group, Admin-Group)
  ├─ コンピュータ情報 (PC-001 ~ PC-1000)
  └─ Kerberos チケット発行
       ↓
       ↓ TGT (Ticket Granting Ticket)
       ↓
[各種社内サーバ]
  ├─ ファイルサーバ → AD 認証で自動アクセス
  ├─ Exchange → AD 認証で自動アクセス
  ├─ SharePoint → AD 認証で自動アクセス
  └─ プリンタ → AD 認証で利用

社内 DNS

イントラネット内のサーバには社内 DNS 用のホスト名を付け、内部から名前解決します:

社内 DNS ゾーン: corp.example.local

ad-dc01.corp.example.local        → 10.0.1.10  (AD ドメインコントローラ)
file01.corp.example.local         → 10.0.2.10  (ファイルサーバ)
wiki.corp.example.local           → 10.0.3.10  (社内 Wiki)
groupware.corp.example.local      → 10.0.3.20  (グループウェア)

注意:
- .local TLD は mDNS と衝突するため避ける案もあり
- 推奨は example.corp / corp.example.com のような実所有ドメイン配下
- 内部用 / 外部用で DNS を分ける (Split-Horizon DNS)

VPN による社外からのアクセス

在宅勤務や出張中にイントラネットにアクセスするには VPN (Virtual Private Network) を使います:

VPN 種別	用途	例
SSL-VPN (リモートアクセス)	社員 PC → 社内	Cisco AnyConnect, FortiClient, Pulse
IPsec VPN (リモートアクセス)	同上、よりレイヤ低	Windows 組込, Cisco
IPsec VPN (拠点間)	本社 ⇔ 支店の常時接続	Cisco ASA, YAMAHA, FortiGate
WireGuard	新世代、軽量・高速	OSS / Tailscale
SoftEther	OSS、L2 トンネル	大学 / 中小企業

Zero Trust への移行

従来のイントラネットは「境界防御モデル」 — 社内 = 信頼、社外 = 危険、と分けて防御していました。しかしクラウド / リモートワーク時代では:

• 社内 PC でもマルウェア感染で内側から攻撃される
• SaaS (Microsoft 365, Salesforce, Slack) は社外にあり、VPN を通しても意味が薄い
• BYOD / モバイルが境界を曖昧にする

これに対応するのが Zero Trust ネットワークアクセス (ZTNA):

Zero Trust の原則:

1. すべてのアクセスを「信頼しない」前提で検証
2. ユーザ + デバイス + コンテキスト (場所/時間/IP) で多面的判定
3. 最小権限の原則 (Principle of Least Privilege)
4. アクセス毎に再認証 (継続的検証)
5. 暗号化 / 監査ログ常時

代表的な製品:
- Google BeyondCorp (パイオニア)
- Cloudflare Zero Trust / Access
- Zscaler Private Access (ZPA)
- Tailscale (WireGuard ベース)
- Twingate
- Microsoft Entra Private Access

イントラネット上の主なアプリ

分類	例
社内ポータル / Wiki	Confluence, SharePoint, MediaWiki, GitLab Wiki, Notion (SaaS化)
グループウェア	Microsoft Exchange + Outlook, サイボウズ, Google Workspace
ファイル共有	Windows ファイルサーバ (SMB/CIFS), NetApp, Box, Dropbox Business
チャット	Slack, Microsoft Teams, Mattermost, Rocket.Chat
勤怠 / 経費	KING OF TIME, freee, 勤次郎, Concur
ERP / 会計	SAP, Oracle EBS, OBIC7, SuperStream
CRM / SFA	Salesforce, HubSpot, Senses
監視 / ログ	Zabbix, Prometheus, Splunk, Elastic Stack

SSL/TLS 証明書 (社内 CA)

イントラネット内の Web サーバにも HTTPS は必要。社内認証局 (Private CA) を立てる選択肢があります:

# 社内 CA の選択肢
1. Windows Server の Active Directory Certificate Services (AD CS)
   → ドメイン参加 PC に自動で root CA 配布

2. ACME ベース (cert-manager + Let's Encrypt の社外公開 DNS で発行)
   → 内部 .corp.example.com を public DNS の TXT で検証

3. step-ca / smallstep など OSS

4. HashiCorp Vault PKI Secrets Engine

注意:
- 社内 CA を立てるなら、root CA 証明書を全社員端末に配布が必要
- できれば Public CA (Let's Encrypt 等) を使い、内部ドメインでも DNS-01 認証で発行が楽

セキュリティ対策

• ファイアウォール: 境界 FW + 内部セグメンテーション (VLAN 分離)
• WAF: 公開向け Web サーバの前段に
• EDR / アンチウイルス: 全エンドポイントに必須
• SIEM: ログ集約と相関分析 (Splunk / Elastic / Sentinel)
• NAC: 社内ネット接続時のデバイス認証
• DLP: 機密データの社外持出し防止
• 定期パッチ / 脆弱性スキャン: 内部にも必須

FAQ

Q: クラウド (SaaS) を使うとイントラネットは不要？
A: 完全には不要にならない (社内ファイルサーバ、業務システム、レガシーは残る)。しかしVPN 中心モデルは限界で、SaaS 認証は Azure AD / Okta で SSO 統合し、Zero Trust 思考に移行する企業が多い。

Q: 社内 Wiki を SaaS にすると情報漏洩が怖い
A: 主要 SaaS は ISO 27001 / SOC 2 などの認証取得済で、平均的な自社運用より高セキュリティなことが多い。アクセス権限管理と監査ログを適切に設定すれば SaaS の方がリスク低くなる。

Q: 自宅から社内 Wiki に繋がらない
A: VPN 未接続。または VPN は繋がっているが社内 DNS にスプリットトンネルで届いていない。nslookup wiki.corp.example.com で確認。