IT用語集 2022/04/16

無線LAN（Wi-Fi）のセキュリティ強化とは？事例・対策・設定をわかりやすく解説

企業の業務用Wi-Fiは、利便性と引き換えに、常にセキュリティ上の露出を抱えます。無線である以上、通信は物理的に社外へ届き得るため、暗号方式だけを更新しても、認証、ネットワーク分離、更新管理、監視のどれかが弱いままだと、不正アクセスや情報漏えいにつながります。

企業Wi-Fiの設計で先に決めるべきことは明確です。誰を接続させるのか、どの端末を許可するのか、どこまで到達させるのか、更新できない端末をどう扱うのか、例外をどう減らすのかです。暗号方式だけで安全性は決まりません。認証、分離、更新、監視まで一体で設計した構成が必要になります。

企業Wi-Fiが難しくなりやすい理由

企業ネットワークでは、Wi-Fiは補助的な設備ではなく、業務を支える基盤の一部になっています。PCだけでなく、スマートフォン、タブレット、会議室機器、プリンタ、IoT機器まで接続対象が増えています。さらに、Web会議やクラウド利用が常態化したことで、遅延や安定性だけでなく、接続制御と運用管理の精度も問われます。

有線LANとの違いは、電波を誰でも受信できる点にあります。暗号化や認証の仕組みは整備されていますが、設定が甘い、古い端末を切り離せない、ゲスト用と社内用の分離が不十分、といった状態では、設計上の弱点が残ります。企業では、入退社、委託先利用、来訪者接続、私物端末混在があるため、家庭よりも管理条件が複雑になります。

設計時に分けて考えたい四つの論点

暗号：盗聴されても内容を読まれにくくする
認証：許可していない利用者や端末を参加させない
分離：侵入や感染が起きても到達範囲を広げにくくする
運用：更新、監視、例外管理を継続して設計を崩さない

この四つは独立していません。暗号方式だけを新しくしても、認証が弱ければ不正参加を止めきれません。認証を厳しくしても、分離が甘ければ横展開を抑えにくくなります。さらに、運用が崩れると、互換設定や未更新端末が残り続け、設計どおりの状態を維持できなくなります。

Wi-Fi以外の無線技術と混同しやすい点

企業ではWi-Fi以外の無線技術も同時に使われます。用途が違うため、役割を分けて整理しておくと、無線全体の統制を設計しやすくなります。

Bluetooth

Bluetoothは短距離接続が中心で、キーボード、マウス、ヘッドセットなどの周辺機器接続で使われます。Wi-Fiのように多数端末が同じ業務ネットワークへ常時参加する設計とは性質が異なります。

ZigBee

ZigBeeは低消費電力を優先する無線規格で、センサーやIoT機器で使われます。企業では設備やスマートオフィス関連で登場しやすく、情報システム部門の管理外で増えやすい点に注意が要ります。

NFC

NFCは数センチ程度の近距離通信で、決済や認証補助に使われます。Wi-Fiより通信範囲がかなり短く、遠隔からの試行を前提とした設計ではありません。

RFID

RFIDは識別が中心の技術で、在庫管理や入退室管理で使われます。通信基盤として使うWi-Fiとは役割が異なりますが、現場主導で導入されやすい点は共通しています。

こうした無線技術が混在すると、企業は「何がネットワーク接続用で、何が識別用か」を分けて管理しなければなりません。Wi-Fiはその中でも、利用者、端末、業務が最も集まりやすく、事故の影響範囲も広くなりがちな技術です。

利用シーンごとに変わる脅威

家庭での利用

家庭では、弱いパスワード、ルーター未更新、不要機能の放置といった状態が起きやすく、通信盗聴、端末感染、外部への不正通信の踏み台化につながることがあります。

公衆エリアでの利用

公衆Wi-Fiでは、偽アクセスポイントや中間者攻撃のリスクが高くなります。利用者がSSIDの正当性を判断しにくいため、接続行為そのものが危険になります。

企業での利用

企業では、共通鍵の使い回し、ゲスト分離不足、古い端末の残存、管理外アクセスポイント、シャドーITが脅威になりやすくなります。家庭との違いは、端末と利用者の種類が多く、責任と権限が分散し、しかも接続を完全停止しにくい点にあります。

企業Wi-Fiで意識したい代表的な攻撃

なりすまし

MACアドレスの偽装などで、許可端末を装って接続を試みる手口があります。MACアドレスだけを信頼する設計では、接続可否の判定として弱くなります。接続許可は、利用者認証、端末認証、その後の到達範囲制御まで含めて設計します。

脆弱性を突く攻撃

規格や実装の弱点を突く攻撃は、暗号方式を新しくしていても、端末やアクセスポイントが更新されていなければ成立することがあります。更新できない端末を残す場合は、例外として切り分けて扱う必要があります。

不正アクセスポイント

正規SSIDに似せた偽アクセスポイントを設置し、利用者を誤接続させる手口があります。利用者視点では「いつものSSIDに見える」ため、発見が遅れやすくなります。アクセスポイント監視、端末側の接続ポリシー、認証方式の見直しが要ります。

管理外の無線経路

私物ルーター、勝手に設置された会議室AP、スマートフォンのテザリング常用は、企業側の制御が効かない経路を増やします。禁止だけを並べても止まりません。現場が回避行動を取りにくい業務用ネットワークを用意しない限り、管理外経路は残ります。

企業Wi-Fiのセキュリティ強化で決める項目

1. 暗号方式だけで終わらせない

暗号化は通信内容の保護に必要ですが、それだけで接続制御までは担いません。旧式の暗号や互換性のために残した弱い設定を常用すると、そこが継続的な弱点になります。移行できない端末がある場合は、社内用ネットワークへそのまま混在させず、別の経路や別セグメントで扱うほうが整理しやすくなります。

2. 共通パスワード方式の限界を理解する

共通パスワード方式は、小規模で利用者が固定され、鍵更新を確実に実施できる環境なら成立することがあります。ただし、利用者が増えるほど、配布、回収、退職時対応、委託先対応が難しくなります。鍵を知る人が多いほど、漏えい時の影響範囲も広がります。

3. 利用者や端末を個別に認証できる構成を検討する

企業では、利用者単位または端末単位で認証し、必要に応じて個別停止できる構成のほうが管理しやすくなります。接続後にVLANや到達範囲を切り替えられる設計とも組み合わせやすく、委託先、社員、機器、ゲストを同じ扱いにせずに済みます。

認証基盤を含めて設計する場合は、RADIUSやAAAの考え方も関わってきます。Wi-Fiは暗号方式だけでなく、認証基盤の設計まで含めて見たほうが事故を減らしやすくなります。

4. 補助的な設定を過信しない

SSID秘匿やMACアドレスフィルタリングは、偶発的な誤接続の抑制には使えても、主要なセキュリティ対策にはなりません。迂回しやすい設定を中核に置くと、見かけ上の対策だけが残ります。

5. ネットワーク分離を前提にする

侵入や感染を完全にゼロにはできないため、Wi-Fiでは到達範囲の制限が欠かせません。社内用、ゲスト用、機器用を分け、必要な通信先だけを許可します。ゲストから社内への到達遮断、機器から管理サーバーだけの許可、業務端末でも業務範囲に応じた制限など、最小特権の原則に沿って設計したほうが被害を抑えやすくなります。