IT用語集 2022/05/02

無線LANの暗号化方式の種類（ WEP / WPA / WPA2 / WPA3 ）とそれぞれの特徴や違い

はじめに

無線LAN（Wi-Fi）のセキュリティを調べると、必ず出てくるのが「暗号化」です。無線LANでは、通信内容の盗み見や不正利用を防ぐために、WEP（ウェップ）、WPA（Wi-Fi Protected Access）、WPA2（Wi-Fi Protected Access 2）、WPA3（Wi-Fi Protected Access 3）といったセキュリティプロトコルと、それに紐づく暗号化方式が使われます。この記事では、各プロトコルの特徴と限界を整理したうえで、企業利用で確認したい考え方を、いまの前提でまとめます。

ここでいう「暗号化」は、Wi-Fiの電波でやり取りされるデータを、第三者が読めない形に変換することです。ただし、無線LANの安全性は暗号アルゴリズムだけで決まるわけではありません。どのように認証するか、鍵をどう配布し、どう更新するか、ゲスト利用をどう分離するかといった運用設計によって、同じWPA2やWPA3でも有効性は変わります。

また、無線LANは「電波が届く範囲」そのものが攻撃面になり得ます。オフィスの外、会議室の隣、共用フロア、来客エリアなど、ネットワーク管理者が想定しにくい場所に第三者が存在し得るためです。だからこそ、暗号化方式の選択だけでなく、「想定される脅威」と「運用で見落とされやすい点」をセットで考える必要があります。

企業利用で大切なのは、「新しい方式を選ぶ」だけで終わらせないことです。たとえばWPA3を採用していても、移行のための混在モード（トランジションモード）を常用していたり、WPS（Wi-Fi Protected Setup）が有効なままだったり、端末の更新（パッチ適用）が止まっていたりすると、期待したセキュリティレベルを得にくくなります。逆にWPA2を継続せざるを得ない環境でも、鍵運用、ネットワーク分離、設定監査を続けられていれば、現実的な安全性は引き上げられます。

本記事は「暗号方式の強さ」だけでなく、企業でつまずきやすい論点として、共通パスワード（PSK）の管理、来客・社内・機器の分離、混在設定の棚卸し、端末とアクセスポイントの更新運用、設定変更の統制を扱います。暗号化は必要条件ですが、企業利用ではそれだけで十分になりにくい――この前提で読み進めてください。

無線LANのセキュリティ強化に関しては、以下の記事も併せてお読みください。

無線LANのセキュリティリスク

無線LAN（Wi-Fi）には、不正アクセスや盗聴といったリスクがあります。電波は壁を越えて届き得るため、LANケーブルのように「物理的に接続しない限り外部から触れない」という前提が置きにくい点が特徴です。つまり、ネットワークの内外を分ける境界は、建物の壁や入退室管理だけでは決まりません。

不正アクセスは、本来アクセス権限を持っていない第三者に、ネットワークを不正な方法で利用されることを指します。盗聴は、無線LANを用いた通信内容を第三者に覗き見されることです。無線LANの場合、「敷地内に侵入しなくても、電波が届く範囲で試行できる」点が、リスクの見積もりを難しくします。

たとえば古い暗号化規格を使っていると、解読ツールなどを用いて比較的容易に突破される危険性があります。すると、電波の届く範囲にいる第三者に通信内容を覗き見される、あるいは不正アクセスされる原因になります。社内LANであれば、ログイン情報が漏えいしたり、業務データを盗み取られたりするおそれが高まります。

ここで誤解されやすいのが、「暗号化している＝盗聴や侵入が起きない」という理解です。暗号化方式そのものが適切でも、次のような運用上、見落とされやすい点があると、情報漏えいや侵入につながります。

共通パスワード（PSK）の使い回し：退職者、外部委託先、一時利用者などが同じ鍵を保持したままになりやすい。対策は、定期更新と配布対象の棚卸しを運用に組み込み、例外を常態化させないことです。
ゲスト用SSIDの分離不足：来客端末が社内システムへ到達できる設計になっている。対策は、到達範囲を設計で限定し、社内用と来客用を同じ前提で扱わないことです。
端末の未更新：脆弱性対策（パッチ）が未適用の端末が接続され、踏み台になり得る。対策は、端末更新の責任範囲と期限を決め、未更新端末を許容しない運用を前提にすることです。
設定の後戻り：互換性確保のために古い方式（WPAやTKIP）を残し続け、弱い経路が温存される。対策は、互換設定の棚卸しを定期作業にし、残す理由と期限を明文化することです。

加えて企業では、暗号方式とは別のところでリスクが膨らむパターンも起きがちです。ここは現場で再発しやすいため、ポイントを絞って確認しておくと設計の精度が上がります。

SSIDの乱立：用途ごとにSSIDを増やしすぎると、誰が何を使うかが曖昧になり、例外設定が残りやすい。対策は、SSIDを役割単位に整理し、増やす条件と廃止する条件を決めることです。
設定の持ち越し：機器更新や拠点追加の際に、古いテンプレート設定がそのまま引き継がれて弱い項目が残る。対策は、移行前に禁止項目のチェックリストで監査し、合格した設定だけをテンプレ化することです。
例外運用の常態化：一時対応のつもりで緩めた設定が戻らず、セキュリティ上、弱くなりやすい部分が固定化する。対策は、例外に必ず期限を付け、期限を迎えた時点で再チェックするルールにすることです。

攻撃が成功した場合に起きること　現場で影響が出やすい点

無線LAN攻撃は「通信を読む（盗聴）」「勝手に入る（不正接続）」「中で悪さをする（横展開や踏み台）」に大別できます。成立してしまうと、次のような状況が起こり得ます。

アカウント情報の流出：ログイン情報が盗まれ、社内システムやクラウドへ不正ログインされる
業務データの漏えい：メール、ファイル、チャット、Web会議などの情報が外部へ流出する
侵入後の横展開：同一セグメント内の端末探索、脆弱端末の乗っ取り、サーバー到達を狙われる
なりすましや改ざん：ネットワーク内で偽装通信を行い、認証情報の再収集や不正操作を誘発される
監査と復旧コスト：どの端末が、いつ、どこから接続したかの追跡が難しく、復旧と説明負担が膨らむ

「暗号化で盗聴が防げるか」だけでなく、「侵入させない」「侵入されても影響を限定する」「後から追跡できる」まで含めて設計することが、企業利用では重要になります。

まず確認したい3つのチェックポイント

詳細に入る前に、最初に確認すべきポイントを整理します。ここを押さえるだけでも、リスクの底上げにつながります。

① WEP／TKIPが残っていないか：設定や互換モードで古い方式が温存されていないかを確認する
② WPSが有効になっていないか：特にPIN方式が無効化されているかを確認する
③ 混在モードが常用になっていないか：移行措置が期限付きで管理されているかを確認する

これらは「技術的に難しい対策」ではなく、「残りやすい設定」を意識的に点検する作業です。後続の章では、それぞれがなぜ問題になるのかを掘り下げていきます。

無線LANのセキュリティプロトコルと暗号化方式

無線LANの普及とともに、WEP、WPA、WPA2、WPA3といった複数のセキュリティプロトコルが登場してきました。これらは単なる世代差ではなく、それぞれが「どの脅威に、どこまで対応できるか」という前提の違いを持っています。本章では、各プロトコルの位置づけと限界を整理し、現在の企業利用においてどう判断すべきかを解説します。

セキュリティプロトコルと暗号化方式の関係

「WPA2」や「WPA3」は暗号方式そのものではなく、無線LANにおける認証・鍵管理・暗号化の枠組みを定めたセキュリティプロトコルです。プロトコルの中で、暗号アルゴリズム（RC4、AESなど）と、実際の通信における暗号化・改ざん検知方式（TKIP、CCMPなど）が組み合わされます。

評価の軸は、次の2点に集約できます。

暗号の強さ：使用されるアルゴリズムやモードが、現代の解析・攻撃に耐えられるか
鍵管理の強さ：鍵が再利用されにくいか、推測や辞書攻撃に強いか、漏えい時に影響を限定できるか

世代が進むにつれて、暗号方式の刷新だけでなく、鍵管理や認証の弱点を補う仕組みが取り込まれてきました。一方で実運用では、端末の古さや利便性への配慮から、設計どおりのセキュリティレベルにならないケースも少なくありません。こうした「混在」や「運用上の緩み」が、後段で扱う実務上の論点になります。

WEP　設計上の弱点を抱えた旧世代プロトコル

WEP（ウェップ）は、1990年代後半に登場した無線LAN向けセキュリティプロトコルです。名称はWired Equivalent Privacy（有線と同等のプライバシー）を意味しますが、結果としてこの目標は達成されませんでした。

WEPの暗号化方式と鍵長の整理

WEPはストリーム暗号RC4を用い、秘密鍵として40ビットまたは104ビットを使用します。さらに24ビットのIV（初期化ベクトル）が付くため、資料によっては「64ビット（40+24）」「128ビット（104+24）」と表記されることがあります。ただし、強度評価の観点では、実際の秘密鍵長が40/104ビットであることに加え、IVが短く再利用されやすいこと自体が大きな弱点です。

WEPは、上位層で別の暗号化を重ねても、無線区間の設計上の弱点が消えるわけではありません。企業利用では、設定の工夫で延命するのではなく、WEPの廃止が前提として整理する必要があります。

WEPに対する代表的な攻撃と共通点

WEPには複数の攻撃手法が存在しますが、いずれも短いIVとRC4鍵生成の偏りを突く点で共通しています。

FMS攻撃：IVの偏りを統計的に解析し、暗号鍵を推定する
KoreK攻撃：FMSを拡張し、より少ないパケットで鍵推定を可能にする
ChopChop攻撃：暗号化パケットを改変し、応答差から平文推定やパケット注入を行う
PTW攻撃：特定パケットの特性を利用し、短時間で鍵推定を成立させる

いずれの攻撃も、成功すれば盗聴や不正接続、なりすましが現実的になります。防御策は存在せず、WEPの廃止が前提です。

企業利用における判断

企業環境でWEPが必要になる場合、その問題は無線LAN単体ではなく、資産管理や更新計画にあります。例外的に残る場合でも、無線を使わない構成や、期限付きの更新計画を前提とし、常用にしない判断が欠かせません。

WPA　移行期プロトコルと残存リスク

WPA（Wi-Fi Protected Access）は、WEPの弱点を緩和するために導入された移行期の方式で、後に標準化された802.11i（WPA2）の前段として普及しました。

WPAとTKIPの位置づけ

WPAは主にTKIP（Temporal Key Integrity Protocol）を採用し、RC4を前提としながらも、パケットごとの鍵更新などでWEPの弱点を緩和しました。WPAにはPSK方式とIEEE 802.1Xを用いるエンタープライズ方式がありますが、暗号基盤自体が旧世代である点は共通です。

WPA/TKIPに関する代表的な論点

Beck-Tews攻撃：TKIPの弱点を突き、条件次第で改ざんやパケット注入が可能になる

また、暗号方式とは別に、WPA/WPA2の運用として共有されるグループ鍵（GTK）が悪用され得る、いわゆる「Hole196」のような内部者前提の論点も知られています。

これらは「外からの侵入」だけでなく、「中に入った後に何ができるか」という観点を浮き彫りにしました。結果として、WPA/TKIPは現在の企業利用では採用すべきではありません。

WPA2　現役だが前提条件付きのプロトコル

WPA2は、802.11iで定義されたAES-CCMPをベースにした無線LANのセキュリティ枠組みで、WEP／TKIP系より暗号強度と完全性保護を大きく改善しました。

WPA2の強みと限界

CCMPは暗号化と完全性保護を兼ね備え、暗号方式としては現在も一定の強度を持ちます。一方で、WPA2-PSKでは鍵運用が弱点になりやすく、短いパスフレーズや共通鍵の使い回しは、暗号が強くても全体の安全性を下げます。

KRACKと運用上の注意点

KRACK（Key Reinstallation Attack）は、4-way handshakeの再送などを悪用して鍵の再インストールを誘発し得る問題です。影響の有無や深刻度は実装やパッチ状況に依存するため、運用としては端末側も含めた更新を止めないことが重要になります。

また、HTTPS（TLS）など上位レイヤーでの暗号化が徹底されていない場合、影響が顕在化しやすくなります。

WPSの扱い

WPSは接続を簡易化する仕組みですが、PIN方式は総当たり攻撃が成立しやすい設計上の問題が指摘されています。WPA2固有の問題ではありませんが、運用で一時的に使う場合でも、作業後に無効へ戻す統制を前提にするのが安全です。

WPA3　強化されたが万能ではない最新世代

WPA3は2018年に発表・導入が進んだ世代で、特にパーソナル方式でSAEを採用し、オフライン辞書攻撃への耐性を高めました。

WPA3の評価ポイント

SAEによりPSK型認証は大きく改善されましたが、混在モードの常用や端末更新の停滞があると、想定したセキュリティレベルを得られません。

Dragonbloodと実務上の示唆

DragonbloodはSAEに関する脆弱性群で、影響は実装や設定、更新状況によって変わります。ここから得られる教訓は、「新方式でも更新と設定監査が前提」という点にあります。

無線LANのセキュリティは、プロトコル選択だけで完結しません。認証方式、鍵管理、分離設計、更新運用を含めて初めて、現場で安定した安全性が成立します。

IEEE 802.1XとEAPで認証と鍵管理の弱点をどこまで解消できるか

企業無線LANにおいて、暗号方式そのものと同じくらい重要になるのが、誰を、どの単位で認証し、暗号鍵をどう配布・更新するかという設計です。この課題に対して効果が大きいのが、IEEE 802.1XとEAPを用いたエンタープライズ認証です。

ここで確認しておきたいのは、IEEE 802.1Xが単なる「ログインを厳格にする仕組み」ではない点です。802.1Xは、接続のたびにユーザーや端末を認証し、その結果に基づいて暗号通信に用いるセッション鍵を安全に生成・配布・更新する枠組みを提供します。認証と鍵管理を切り離さずに運用しやすくなることが、企業利用での大きな価値になります。

共通パスワード（PSK）のみで構成された無線LANでは、鍵の配布・回収、漏えい時の影響範囲、接続主体の説明といった運用課題が避けられません。IEEE 802.1Xは、これらの弱点を仕組みと運用の両面から整理しやすくする方式です。

IEEE 802.1Xが解消しやすい認証の課題

802.1Xの第一の効果は、「誰が接続しているか」を共通鍵から切り離して管理できる点にあります。

共通パスワード（PSK）の配布問題：PSKは知っている人が増えるほど弱くなりますが、802.1Xではユーザーや端末単位で認証でき、個別に無効化できます。
退職者や外部委託先の残存リスク：PSKは回収が困難ですが、802.1Xではアカウント停止や証明書失効によって接続を止めやすくなります。
接続主体の追跡性：ユーザー単位・端末単位の認証により、「誰が、いつ、どの端末で接続したか」をログと突き合わせて説明しやすくなります。

これらは「認証が強くなる」というより、「説明できる状態を作りやすくなる」点が重要です。監査やインシデント対応において、共通鍵運用との差が出ます。

IEEE 802.1Xで改善しやすい鍵管理の課題

無線LANの安全性は、AES-CCMPのような暗号アルゴリズムだけで決まるわけではありません。実務上の差は、鍵がどの単位で生成され、どれくらいの期間使われ、漏えい時にどこまで影響するかで生まれます。

IEEE 802.1Xでは、認証の成功を起点として、暗号通信に用いるセッション鍵が動的に生成・配布される設計が前提になります。

接続ごとの鍵生成：接続のたびに鍵が生成されるため、長期間同じ鍵を使い回す前提から離れやすくなります。
漏えい時の影響範囲：PSKは一度漏れると全体に影響しますが、802.1Xでは該当ユーザーや端末のみを停止し、影響を限定しやすくなります。
鍵更新（リキー）を前提にした設計：機器設定と運用を整えることで、定期的な鍵更新を前提にした構成を取りやすくなります。

このように802.1Xは、「強い暗号を使う」こと以上に、「鍵を固定化しない」方向で設計しやすい点に価値があります。

EAP方式は正解を探すのではなく運用可能性で選ぶ

IEEE 802.1Xの導入では、どのEAP方式を選ぶかが運用難度を大きく左右します。ここで重要なのは、「理論的に最も強い方式」が必ずしも最適解ではないという点です。

EAP-TLS（証明書方式）：クライアント証明書を用いるため強度は高い一方、証明書の配布、更新、失効、端末交換時の対応など、証明書運用を継続できる体制が前提になります。
PEAP（IDとパスワードを保護して認証）：比較的導入しやすい方式ですが、サーバー証明書の検証設定や、なりすましを防ぐ運用ルールを明確にしないと形骸化しやすくなります。
EAP-TTLS（認証方式の選択肢が多い）：既存の認証基盤と連携しやすい反面、方式の選択肢が多いため、例外処理を含めた設計を決めておかないと運用が複雑化しやすくなります。

いずれの方式でも共通するのは、「設定できる」ことと「継続して運用できる」ことは別だという点です。更新や失効が滞れば、方式の強度に関わらず実際の有効性は下がります。

つまりIEEE 802.1Xは、認証を厳格にする技術というより、暗号鍵の配布と更新という無線LAN運用で見落とされやすい点を、企業向けに整理しやすくする枠組みと捉えるのが実務的です。WPA2かWPA3かという選択と同じくらい、「どの単位で認証し、鍵の更新や配布をどのように行うか」が、無線LAN設計の分かれ道になります。

企業ではどのような無線LAN環境を構築すればよいか

無線LANの暗号化技術は進歩し、WPA2やWPA3のように強固な枠組みが普及しました。しかし企業利用では、「暗号化しているから安全」「WPA3を使っていれば安心」とは言い切れません。無線LANは電波を使う以上、電波が届く範囲がそのまま攻撃面になり得ます。したがって、暗号方式の強さだけでなく、認証、分離、更新、統制をセットで設計し、「例外が増えても崩れにくい運用」に落とし込むことが重要です。

とりわけ企業では、家庭向けの設計の延長では不足しがちです。オフィスは同時接続数が多く、端末も業務PC・スマホだけでなく、Web会議機器、プリンタ、IoT機器など管理が難しいものが混在します。その結果、互換のための設定緩和や例外運用が積み上がり、セキュリティ上、弱い部分が固定化しやすくなります。ここでは、企業として「まず決める前提」から「設計の基本的な考え方」「結論パターン」「監査ポイント」「移行手順」まで、順に整理します。

まず確認する3項目（迷ったらここから）

現場で最初に効果が出やすいのは、抽象論ではなく「今日できる確認」です。どの方式を採用するにしても、まずは次の3項目を点検すると、トラブルにつながりやすい弱点を短い手順で減らせます。

①WEP/TKIPが残っていないか：互換設定や古いテンプレートが原因で温存されやすい
②WPSが有効になっていないか：方式（WPA2/WPA3）に関わらず攻撃面になり得る（特にPIN）
③混在モードを常用していないか：移行措置が「常態」になると弱い部分が固定される

この3つは、技術の新旧に関係なく「残っているだけで弱い入口ができる」項目です。以降の設計や選定は、この前提の上に積み上げます。

方式選定の前に決めるべき前提（例外を増やさない設計条件）

プロトコルや認証方式を選ぶ前に、現場の前提条件を明文化しておくと、例外が増えにくくなり、後から説明もしやすくなります。最初に決めたいのは次の3点です。

端末世代の混在：業務PC、業務スマホ、来客端末、IoTやプリンタなど、どこまで新方式に追随できるかを棚卸しする
利用シーンの幅：来客利用の有無、会議室の一時利用、拠点間の差など、例外が生まれる場所を先に洗い出す
更新運用の体制：誰が、いつ、何を更新するかを決める。アクセスポイントだけでなく端末側も更新できる前提を置く

この前提が曖昧なままだと、「端末が古いから」「一部の部署だけ」「一時的な来客対応」といった理由で例外が増え、結果としてセキュリティ上、弱い部分が固定化しやすくなります。企業の無線LAN設計は、技術選定の前に例外を管理する仕組みを作ることが重要です。

プロトコル選択だけで終わらせない（企業無線LANの設計要件）

企業無線LANの設計では、最低限として「WEPとWPA（TKIP）を残さない」「WPA2以上を前提にする」という対象範囲の整理が必要です。そのうえで、現場トラブルとセキュリティ被害の両方を減らすために、設計の要件を役割別に整理すると迷いが減ります。

設計要件	何を決めるか	典型的な落とし穴
認証	PSKを前提にするか、IEEE 802.1Xでユーザー/端末単位の運用にするか	共通鍵の配布・回収が継続できず、漏えい時の影響が全体化する
分離	社内用/来客用/機器用を分け、到達範囲（社内LAN/インターネット/特定サーバー）を制御する	SSIDは分けたがL2/L3の到達制御が甘く、社内へ到達できる
更新	APと端末の更新責任・期限・例外を定義する	APだけ更新して「端末側未更新」が放置され、脆弱性が残る
統制	WPS無効化、弱い暗号スイート禁止、混在設定棚卸し、変更権限の管理	互換のための設定が残り続け、監査時に説明しづらくなる

ポイントは、どれか1つを強くしても安全性は安定しにくいことです。暗号化は必要条件ですが、企業利用ではそれだけで十分になりにくいため、上の4要件を一体で設計する必要があります。

方式選定の結論パターン（現実解としての落としどころ）

企業の現場では「理想の最適解」よりも、「実際に運用できる構成」が求められます。よくある結論パターンを、条件・採用案・注意点の順に整理します。

結論パターン一覧（早見表）

パターン	条件	採用案（基本構成）	注意点
WPA3を必須化できる	業務端末が概ねWPA3対応、来客は別系統で扱える	社内SSIDはWPA3前提、来客SSIDは分離＋到達制御	混在モードを常用しない。例外端末は期限付きで除外する
WPA3を必須化できない	古い業務端末/機器が残りWPA2継続が避けられない	WPA2継続＋鍵運用と分離設計で弱点を減らす。可能なら802.1X	継続理由は「端末都合」と明確化し、棚卸しと更新計画をセットにする
IEEE 802.1Xを採用できる	認証基盤/端末管理/証明書運用のいずれかを継続できる	社内SSIDは802.1X基本、停止をユーザー/端末単位で実施	EAPは運用可能性で選ぶ。更新・失効が滞る設計は形骸化しやすい
IEEE 802.1Xを採用できない	運用体制が薄く、まず簡便な構成が必要	PSKでも長いパスフレーズ＋定期更新＋配布対象管理を必須。来客は分離	PSKは規模拡大で破綻しやすい。例外が増える前提で統制が必要

補足：WPA2/WPA3の実務的な整理

結局どちらを選ぶべきか迷う場合は、次の整理が実務的です。可能ならWPA3へ移行するのが望ましい一方、WPA2を継続せざるを得ないなら「更新・認証・分離・統制」で弱点を減らすことが現実解になります。方式の理想よりも、例外を管理して安全性を維持できるかが分かれ道です。

最低限の禁止事項と監査ポイント（線引きを曖昧にしない）

ここは企業として基準を明確にしておきたいところです。曖昧にすると、例外が積み上がって弱い部分が残ります。確認すべきポイントとして「条件／判断／実施」をセットで整理します。

条件（よく起きる状態）	判断（基準）	実施（やること）
WEP、WPA、TKIPが残っている可能性がある	残すのは不可	設定監査で検出し、廃止計画（期限・対象・代替）に落とす
WPSが有効になっている	原則無効	無効化。例外は期間と責任者を明記し、終了時に必ず戻す
混在モードを使っている	常用は不可	期限・対象・撤去する条件を決め、期限を迎えた時点で再チェックする
SSIDが増え続けている	乱立はリスク	役割単位に統合し、増やす条件と廃止する条件を定義する
設定変更の権限が広い	統制が必要	変更権限と手順を限定し、テンプレ化と監査を運用に組み込む

移行期の混在を常用しないための手順（移行措置を作業に落とす）

端末世代の混在は避けられないことが多く、移行措置として混在モードを使う場面もあります。ただし混在は弱い方式を残すことでもあるため、常用にしない手順が必要です。ここでは現実的に続けやすい流れを示します。

足かせ端末を棚卸しする：業務PC、業務スマホ、来客端末、IoTやプリンタなどに分類し、対応状況と代替可否を整理する
混在モードは期限付きにする：期限、対象、撤去条件を明記し、例外を許す条件も固定する（例外の常態化を避ける）
互換設定の監査を定期作業にする：古い方式の許可、不要な互換項目、WPSの有効化など「残りやすい項目」を点検し、監査結果を更新計画へ反映する

無線LAN環境はオフィスでも必須になりつつあります。利便性が高いからこそ、暗号化方式とプロトコルの特徴と限界を理解し、認証、分離、更新、統制をセットで積み上げていきましょう。企業の無線LANは「例外が出る前提」で設計し、例外が出ても弱い部分が固定されない形にしておくことが重要です。

まとめ

無線LANのセキュリティは、暗号化プロトコルの新旧だけで決まりません。電波が届く範囲がそのまま攻撃面になり得る以上、「盗聴されにくい暗号」を選ぶだけでなく、「不正参加を起こしにくい認証」「侵入後の影響を広げない分離」「更新を止めない運用」を揃えて初めて、現場での安全性が安定します。

まず、対象範囲を整理すると、WEPとWPAのTKIPは企業利用では残せません。これは設定の工夫で延命できる類ではなく、設計上の弱点が確立しているためです。実運用では互換性を理由に古い方式が残りやすいので、「残っていないことを確認する」までを作業として組み込むことが重要になります。

次に、WPA2とWPA3はどちらも現場で使われていますが、どちらを使う場合でも「鍵の持たせ方」が弱いと実力が落ちます。共通パスワードのPSKは導入が簡単な反面、配布と回収が難しく、漏えい時の影響が大きくなりがちです。ユーザー単位で認証できるIEEE 802.1Xを使うと、接続のたびの認証と、セッション鍵の配布・更新を運用で継続しやすくなり、企業ネットワークとしての説明責任も取りやすくなります。

また、移行期の混在は避けにくい一方で、混在は弱い方式を残すことでもあります。WPA2とWPA3のトランジションモードのような移行措置は、期限を決めて解消する前提で扱い、どの端末が足かせかを棚卸しし、互換設定が残っていないかを設定監査で確認する流れに落とすのが安全側です。

最後に、企業の無線LANは「現場の例外」が積み上がるほど弱くなります。来客対応、古い端末、IoT機器、会議室の臨時設置など、例外はなくなりません。だからこそ、禁止ラインと監査ポイントを明文化し、設定変更の権限を絞り、更新の責任分界を決めて、運用で崩れにくい形にしておくことが重要です。