情シスマン

企業のICT環境や情シスの課題・お悩みを解決するメディア

  • Facebook
  • X
column_42

Wi-Fiのセキュリティ対策は大丈夫?今すぐできる2つの対策と無線LAN利用の心得

著者: 情シスマン
thumbnail

スマートフォンやタブレットの需要が増えて以降、Wi-Fiを使用する機会も大幅に増加しました。LANケーブルが必要なく有線LANと比べて導入の手間とコストがかからないことから、企業での需要も増えています。

近年はテレワークの浸透により、自宅のWi-Fiを使って仕事をしたり、コワーキングスペースで提供される無料Wi-Fiを使ったりと様々な場所でWi-Fiを利用することが多くなっています。

そこで重要になってくるのがWi-Fiのセキュリティです。
これを疎かにしていると情報漏えいやウイルス感染のリスクが高まります。今回は、外部からの脅威に対してどのようなセキュリティ対策を取ればいいのか、セキュアにWi-Fi接続するにはどうしたらよいのか、その具体的な方法について解説していきます。

Wi-Fiセキュリティの必要性とは

Wi-Fiとは無線で通信するための通信規格のうち、一定の水準を満たしたものに付与される認定のことです。現在では、一般的に無線でインターネット接続する際に用いられるデバイスは、ほとんどこのWi-Fi認定を受けています。
Wi-Fiのセキュリティ技術も基準が設けられているとは言え、残念ながら有線LANと比較すると外部から狙われやすく、攻撃を受けるリスクが高いのが事実です。
Wi-Fiは電波なので、物理的にLANケーブルでつなぐ有線LANと違って誰でもキャッチすることができます。Wi-Fiルーターにパスワードがかかっていても、一度パスワードが解読されてしまえば、悪意のある第三者に侵入を許してしまいます。そうなればデータ改ざんや情報漏えいにつながることになります。

テレワークの増加でセキュリティ対策ができていないWi-Fi(無線LAN)が増加

新型コロナウイルスの流行によりテレワークを導入する企業が増えました。東京都の調査によると、2023年4月時点の東京都内の企業におけるテレワーク実施率は46.7%でした。
緊急事態宣言前は24.9%だったことから、かなり多くの企業が新型コロナの影響でテレワークを導入したことがわかります。

body
実施率の推移 「東京都 テレワーク実施率調査結果 4月」より引用

テレワークが増加することで、公衆Wi-Fiや家庭用Wi-Fiなどの会社が整備したわけではないWi-Fiの利用が増加します。

後述しますが、公衆Wi-Fiは誰もがアクセス可能であり、それは悪意のある第三者ににとっても同じです。自身でセキュリティ対策を講じていないと、情報漏えい等につながる場合があるので注意が必要です。

また、自宅のWi-Fiセキュリティについては、多くの人が対策できていない・もしくはよくわかっていないといった現状があります。
実際に、セキュリティに必要な暗号化ができているかわからないという人が4割という調査結果もあります。また、脆弱性が指摘されているセキュリティ方式を使用している人が3割、わからないと答えた人も約半数います。さらに、暗号化パスワードも購入時の設定のままにしているユーザーが半数以上いるため、自宅Wi-Fiへのセキュリティ意識が低いことがうかがえます。

自宅Wi-Fiの暗号化について(単一回答)

body

自宅Wi-Fiのセキュリティ方式(複数回答)

body
自宅Wi-Fiのセキュリティ方式(複数回答)

自宅Wi-Fiの暗号化パスワードについて(単一回答)

body
総務省の令和3年度「無線LANのセキュリティ確保に関するガイドラインの策定検討等に関する調査研究の請負」事業 (受託者:株式会社情報通信総合研究所)より引用

企業のWi-Fiでも安心はできません。通信が届く範囲であれば誰でもアクセスできる可能性があり、パスワードを設定していたとしてもSSID(Wi-Fiの表示名)から機器を特定し、脆弱性をついてくることも考えられます。

便利なWi-Fiですが、セキュリティのリスクが高まることは改めて認識しておきたいですね。

会社のWi-Fi(無線LAN)におけるセキュリティ対策チェックポイント

暗号化をしよう

通信を暗号化することで、やりとりしている通信を盗聴されたとしても情報の中身を見られるのを防ぐことができます。
暗号化の規格や方式によってもセキュリティレベルが異なります。

暗号化規格

WEP

WPA

WPA2

WPA3

登場年

1997年

2002年

2004年

2018年

暗号化方式

WEP(RC4)

TKIP(RC4)が標準
またはCCMP(AES)

CCMP(AES)が標準
または
TKIP(RC4)

CCMP(AES/CNSA)

セキュリティ強度

×

×

「暗号化規格」は無線LAN通信を暗号化して保護するために定められた基準です。
「暗号化方式」は、その基準に達する為の暗号化の方法です。
通常、暗号化規格では最適な暗号化方式を1種類採用していることがほとんどで、新しく出てきたもののほうが当然セキュリティレベルは高くなります。
WEPはセキュリティ強度が脆弱である為、現在ではすでに使用は禁止されています。その後に出ているWPAやWPA2は以前のそれより段階的にセキュリティ強度が高くなっているものの、既に破られた実績のある暗号化規格であるため、不安が残ります。WPA3はWi-Fi6から対応した新しいセキュリティ規格で、WPA2で指摘された脆弱性を解消しているため、最新の機器の多くはWPA3を採用しています。Wi-Fi6は通信速度や接続の安定性向上、省電力化になる以外にセキュリティ面も向上が見込めるということですね。

Wi-Fi6?その仕組みやメリット・デメリットを解説!企業の高速Wi-FiをICT Solution!
Wi-Fi6?その仕組みやメリット・デメリットを解説!企業の高速Wi-FiをICT Solution!

ユーザー認証を強化しよう

誰でも接続できてしまうままだと、盗聴や不正アクセスの格好の的です。
自宅のWi-Fiを繋ぐ際の手順を思い出してみましょう。一般的なのが、PCをWi-Fiに繋ごうとした時に自動的に接続先候補として出てくるSSID(アクセスポイントを識別する名前)から該当のものを見つけ、暗号化キー(SSIDに対応したパスワード)を入力して接続する手順だと思います。

body

しかし企業の無線LANセキュリティとしてはこの程度の対策では十分と言えません。
出来れば認証作業をアクセスポイントに任せず、RADIUSサーバー※を立ててIEEE802.1X認証で行いましょう。これは、サーバーとユーザー端末の双方で電子証明書を保持し、接続時には相互認証とパケット暗号化が行われる仕組みです。盗聴・改ざん・なりすましを防ぎ、有効な証明書を持つ端末だけがネットワークに接続を許可される最もセキュリティが高い認証と言われています。
また、MACアドレス認証※やMACアドレスフィルタリング※という認証方法もありますが、なりすましや設定の書き換えのリスクがあり、安全性には不安が残ります。

※RADIUSサーバー:管理者がユーザーの接続認証と接続記録を管理するためのサーバー
※MACアドレス認証...PCなどに内蔵・装着されるLANカードやWi-Fi接続機能には固有の識別番号が付与されている。その固有識別番号をもとに接続の制御を行う。
※MACアドレスフィルタリング...機器に予め登録されたMACアドレスを持つ端末を認証する制御方法。

ゲスト用Wi-Fiは社内ネットワークから切り離そう

社内ネットワークにアクセスできるWi-Fiを従業員以外に使用させるのは避けるべきです。
よく社外の打ち合わせで「Wi-Fi貸してもらえますか?」といった会話があると思います。
その際に、社内ネットワークに接続できるWi-Fiにつなげてしまうと、ゲストのPCがマルウェア感染していた場合、拡散させてしまうといったことも起こり得ます。
社内ネットワークと切り離しておけば、万が一の被害を最小限に抑えられます。
別のSSIDを用意してゲスト用Wi-Fiを構築することが重要です。

セキュリティリスク

防ぎたいこと

対策

盗聴

無線通信しているデータそのものが盗み見られること

暗号化

不正アクセス

無線環境から社内ネットワークへ侵入され、機密情報へアクセスされること

ユーザー認証
ネットワークの分離

Wi-Fiに接続している機器を把握しよう

従業員が個人で所有しているスマートフォンを会社のWi-Fiにつないでいるケースもあると思います。
企業で管理していない、セキュリティ対策が十分でないデバイスが社内のネットワークに接続できてしまうのはリスクが高いです。
前述のユーザー認証の強化以外にも、接続している機器や履歴を把握することも対策の一つとしておすすめです。
接続している機器を把握しつつ、会社で管理していない機器の接続を検知できるように設定しておくことで意図しない機器からの接続からネットワークを守ることができます。

企業用Wi-Fiには企業用の機器(ルーターなど)を使用しよう

法人向けのWi-Fiルーターにはアクセス履歴が記録されるものが多く、不正アクセスの検知や遮断にも対応できるものがあります。また、アクセスポイントをクラウドで設定・管理できるなど、多拠点、複数端末でも管理しやすい機能が備わっているものもあります。
セキュリティや管理・運用の面からも、法人利用の場合は、家庭用機器ではなく法人用機器を導入しましょう。

Wi-Fi導入時には社員教育も徹底しよう!

今まで説明してきたものは、あくまでも機器や設定でセキュリティ対策を講じるものですが、いくら対策しても人的ミスでセキュリティインシデントが起きる可能性は拭えません。
従業員のなかには、Wi-Fiに関する知識はおろか、IT関連の知識やセキュリティ意識が希薄な人もいます。人的要因から情報漏えいにつながるケースも多くあります。Wi-Fiを導入する際はキックオフミーティングを行い、社員全員の情報リテラシーを高めると同時に、セキュリティに関する知識を周知させることが重要です。

社内で使用するPCやタブレットなどを社外に持ち出すときの規定、会社支給以外の通信端末の使用禁止や社内で定めたアプリ以外の使用禁止(シャドーITの禁止)、パスワードなど重要事項の管理徹底など、注意ポイントはたくさんあります。万が一情報漏えいが起きた場合に会社がどのような影響を受けるのか、ニュースなどの実例を踏まえて紹介してみてもいいでしょう。

情報漏えいが起こってしまうと顧客や取引先からの信頼が失われ、被害に対処するための時間とコストがかかります。最悪倒産の危機にさらされることもあり、社員一人ひとりの生活が脅かされる可能性があることを伝えましょう。

自宅で利用するWi-Fiのセキュリティを向上させるには

テレワークの浸透により、サイバー攻撃を行う犯罪者の標的は、自宅ネットワークにも広がっています。なかなか個人で強固なセキュリティ対策をするのは難しいですが、最低限のことはしておきたいところです。
以下の内容は企業のWi-Fiでも必要なポイントになるので、一度チェックしてみましょう。

ルーターのファームウェアが最新になっているか確認しよう

ルーターのファームウェアが最新でないと、その脆弱性をついた攻撃を受ける可能性があります。
メーカーから提供される更新プログラムは速やかに反映させること、ルーター自体が古く更新がサポートされていないものは買い替えることを徹底しましょう。
最近のルーターは設定をすることで、自動で最新版に更新してくれるものも多いです。自動更新を有効にしておくとよいでしょう。

ルーターの管理画面ID・パスワードを変更する

ルーターには管理画面があり、初期設定はメーカーや機種ごとに一律で決まっている場合があります。同じ機器を持っている場合、ID・パスワードが既知のものになっているということです。
Wi-Fi設定画面ではSSIDの最初に機器名が出ているケースも多いので、複数試すと簡単に入れてしまうなんてことも…
ルーター設置後、すぐに管理画面のID・パスワードは変更しましょう。
もちろんパスワードは複雑なものにすることをお忘れなく。

SSIDのネーミング変更やステルス設定を実施する

Wi-Fiの通信圏内にあるデバイスには、自動的にSSIDが表示されます。初期設定のままだとメーカー名や機種名が表示されることもあるため、脆弱性が報告されているルーターを使用している場合、それを外部の人間に知られてしまいます。

SSIDをオリジナルのネーミングにすることで、自身が使用しているルーターが何なのかを知られるリスクを減らすことができます。
また、SSIDをステルス設定にすることで、SSIDの自動表示を防ぐこともできます。
もちろんSSIDのパスワードを複雑にしておくことも重要です。

※ステルスSSID….Wi-Fi接続時に自動的に検出されるSSID候補リストに表示させない機能。接続する際には、自らSSIDを入力する必要がある。

WPA3などの最新のセキュリティ規格を利用する

企業のWi-Fiセキュリティに必要な対策でも解説したセキュリティ規格について、なるべく最新のものを使っているルーターを使用しましょう。
現時点ではWPA3を使用することが望ましいです。使用しているルーターがWPA3に対応していない場合は、機器の入れ替えをおすすめします。

セキュリティサービスを利用する

セキュリティサービスを利用することもおすすめのポイントです。
自分のPC以外にも、家族のスマホやIoT家電など、様々なデバイスが接続されており、それぞれにセキュリティリスクがあります。できれば、自宅のネットワーク全体を管理・保護できるセキュリティを導入するのがよいでしょう。

ゲストポート機能を利用する

企業のWi-Fi同様、仕事で利用する回線と家族や友人が利用する回線を分けるということもセキュリティ強化につながります。

Wi-Fiセキュリティ設定されているか確認する方法とは

Windowsの場合は「ネットワークと共有センターを開く」→「アダプターの設定の変更」→Wi-Fiアイコン→「ワイヤレスネットワークのプロパティ」→「セキュリティ」の順にクリックしていくとWi-Fiセキュリティの状況を確認することができます。
Macの場合は、すでにWi-Fi設定が済んでいるのであれば画面右上にWi-Fiマークが出ているのでそこをクリックしましょう。「ネットワーク環境設定を開く」から「詳細」に入れば、ネットワーク名とセキュリティ強度を確認できます。
スマートフォンでもWi-Fiセキュリティ強度を調べるのは簡単です。Androidの場合は、設定画面から「Wi-Fi」をタップ、確認したいWi-FiのSSIDをタップしてパスワードを入力すると確認可能です。
iPhoneの場合はWi-Fiを設定する際に認証方式と暗号化の種類を設定するようになっています。Appleで推奨しているのは最もセキュリティレベルの高いWPA3ですが、古いデバイスでWPA3に対応しないものにはWPA2を使うという混合型のWPA2/WPA3も用意されています。

body

知っておきたい!公衆Wi-Fi利用時の心得

カフェやレストランなどで使うことのできる公衆無線Wi-Fiは、出先や海外などで利用する際に便利です。
しかし、公衆無線LANは誰でもアクセスすることが可能なため、その分だけ通信情報を盗聴されたり公衆無線LANを通じて使用しているデバイスに入り込まれたりするといったリスクがあります。空港や駅など公共施設の無線LANであっても、安心とは言い切れません。

特にパスワード入力の必要がない「野良Wi-Fi」は、誰でも簡単に使用できるためとても危険です。特に仕事で使う通信機器は接続しないようにしてください。プライベートで使用するにしても、情報を抜き取るための不正アクセスポイント(なりすましWi-Fi)である可能性がありおすすめできません。公衆無線LANを使用する場合は、必ず暗号化レベルを確認するようにして、セキュリティレベルが低いようなら使用は控えるようにしましょう。

summaryまとめ

Wi-Fiは誰でも簡単に使える便利な通信方法です。運用したい企業はもちろん、Wi-Fiだけでオフィスネットワークを構築しているところも増えているからこそ、悪用される機会やポイントが多いことも理解しましょう。社内だから大丈夫と油断せずにセキュリティ対策はしっかりと実施する必要があります。とはいえ、構築から運用、セキュリティ対策までまったく不安がぬぐえないという情シス担当も多いのではないでしょうか。
解説した内容を実施しつつ、さらにセキュリティを高めたい方は専門家に構築設計をしてもらうことをおすすめします。

電話
このページのトップへ
企業のICT環境、情報システムでお悩みの方へ法人向けインターネット回線やクラウドサービス、データセンターなど、ICTサービスを総合的に扱うUSEN GATE 02 にご相談ください!
freedial
0120-681-6170120-681-617
受付時間 10:00~18:00(土日・祝日除く)
バトルコンテンツバトルコンテンツITコラムITコラムICT用語集ICT用語集キャラクターキャラクターストーリーストーリーお役立ち資料お役立ち資料セミナーセミナー
FacebookX
Copyright (C) USEN ICT Solutions All Rights Reserved.