WPA3とは？ わかりやすく10分で解説

WPA3の基本とは

WPA3は、Wi-Fi（無線LAN）のセキュリティを強化するための規格（Wi-Fi Allianceの認証プログラム）で、2018年に発表されました。WPA2で長年使われてきた仕組みを見直し、パスワード推測攻撃への耐性や、公衆Wi-Fi利用時の保護、IoT機器の安全な初期設定などを強化しています。

WPA3の定義と機能

WPA3（Wi-Fi Protected Access 3）は、無線LANの暗号化・認証を強化する枠組みです。大きく次の2系統があります。

• WPA3-Personal：家庭や小規模環境向け。パスワード方式（PSK）の代わりにSAEを使い、オフライン辞書攻撃への耐性や、前方秘匿性（Forward Secrecy）を強化します。
• WPA3-Enterprise：企業・組織向け。基本は802.1X/EAP（RADIUS等）を用いた認証で、より厳格な構成や暗号スイートを選べます。

また、WPA3では保護された管理フレーム（PMF）の利用がより強く求められるなど、無線区間の攻撃面を減らす方向で整備されています。

WPA3が求められる背景

無線LANは便利な一方で、盗聴・なりすまし・パスワード推測などの攻撃が成立しやすい領域です。特にWPA2-Personal（PSK）では、通信のやり取り（ハンドシェイク）が取得されると、攻撃者が手元で大量の候補パスワードを試すオフライン辞書攻撃が成立し得ます。WPA3-Personalは、この点をSAEで改善し、推測のコストを上げる設計になっています。

さらに、IoT機器の増加により「画面がない・入力が難しい端末でも安全にWi-Fi設定したい」という要件が増えました。WPA3では、端末の安全な初期設定を支援する仕組み（後述）も整備されています。

無線LANセキュリティの進化：WEPからWPA3へ

無線LANのセキュリティ規格は、次のように更新されてきました。

• WEP：初期の無線LANで使われた方式ですが、暗号設計上の弱点が大きく、現在は非推奨です。
• WPA：WEPの問題を受け、暫定的に強化した方式（過渡期の位置づけ）。
• WPA2：IEEE 802.11i（RSN）に基づく本格的な強化。一般にAES-CCMP（AES 128ビット）が中心です。
• WPA3：WPA2の運用上・設計上の課題（特にPSK周りの攻撃耐性や公衆Wi-Fiの保護など）を強化した規格（2018年発表）。

「脆弱性が出たら終わり」ではなく、運用で差がつく

規格が新しくても、実装や設定、パッチ適用が遅れると脆弱性の影響を受けます。実際、WPA3の登場後にDragonbloodとして知られる研究（SAE周辺の攻撃可能性の指摘）が公表され、実装・設定の見直しや更新が求められました。したがって「WPA3だから常に安全」と断定するのではなく、機器のアップデートと安全な設定をセットで考えることが重要です。

WPA3の特徴とその機能

WPA3の主な特徴（全体像）

• WPA3-PersonalでSAEを採用（PSKの置き換え）
• Enhanced Open（公衆Wi-Fi等の「暗号なし」を減らす考え方）
• Easy Connect（IoT機器などの安全な初期設定を支援）
• WPA3-Enterpriseの強化（高セキュリティ向けの暗号スイート選択など）

SAEハンドシェイクとは（WPA3-Personal）

SAE（Simultaneous Authentication of Equals）は、パスワード方式の接続で使われる鍵交換の仕組みで、WPA2-Personal（PSK）とは異なるアプローチを取ります。代表的なポイントは次の通りです。

• オフライン辞書攻撃への耐性：通信を盗聴されても、攻撃者が手元で大量の候補を試す形になりにくい設計です。
• 前方秘匿性（Forward Secrecy）：仮に後からパスワードが漏えいしても、過去の通信が一気に復号されるリスクを下げます（実装・運用条件によります）。

なお、「一定回数の失敗で必ずロックされる」といった挙動は、規格そのものよりもアクセスポイント側の実装・設定に依存するため、運用設計（レート制限、監視、攻撃検知）も合わせて検討してください。

Enhanced Open（公衆Wi-Fiでの保護）

WPA3には、公衆Wi-Fiなどで問題になりがちな「暗号化なし（オープン接続）」を改善する考え方としてEnhanced Openがあります。代表例がOWE（Opportunistic Wireless Encryption）で、同じSSIDに接続している第三者からの盗聴耐性を高めます（ただし、アクセスポイントの正当性検証まで自動で保証するものではありません）。

Easy Connect（IoT機器の安全な初期設定）

画面やキーボードがないIoT機器は、従来「初期パスワード」「簡単なPIN」「弱い設定手順」に寄りやすい課題がありました。WPA3のEasy Connectは、そうした機器に対して、より安全で分かりやすい初期設定（プロビジョニング）を支援するための仕組みとして位置づけられます。

WPA3-Enterpriseと「192ビットモード」について

WPA3-Enterpriseは、企業・組織向けの802.1X/EAP認証を前提に、より厳格な暗号スイートを選べます。中でも「高強度（192ビット相当）」を志向するモードでは、より強い暗号・ハッシュの組み合わせ（例：GCMP-256等）が使われる構成が整理されています。

ただし、これは主に高いセキュリティ要件の組織を想定した話であり、IoT機器向けの一般的な説明として「192ビット＝IoTが安全」と直結させるのは誤解を招きます。IoTの課題は、むしろ初期設定の安全性やパッチ適用、端末のライフサイクル管理にあります。

WPA2とWPA3の比較

WPA3の導入戦略と運用ポイント

移行モード（Transition Mode）に注意

現実の移行期には、WPA2とWPA3を併用する設定（移行モード）が使われることがあります。互換性を確保できる一方で、構成によっては攻撃面が増える可能性があります。導入時は「どの端末がWPA3に対応しているか」を棚卸しし、段階的にWPA3専用へ寄せていく設計が安全です。

「規格」だけでなく「設定」と「更新」が重要

• アクセスポイント／コントローラのファームウェア更新
• 端末側OS・無線ドライバの更新
• 暗号・認証方式の棚卸し（WPA2/WPA3、Personal/Enterprise）
• ログ・監視（不審な接続試行、端末の増減、設定変更）

WPA3は有効な強化策ですが、万能ではありません。無線LAN全体として、端末管理やゼロトラストの考え方、ネットワーク分離、認証基盤（802.1X/RADIUS等）と合わせて設計すると、実運用での安全性が上がります。

FAQ（WPA3）

Q. WPA3はWPA2より必ず安全ですか？

基本的な設計思想として強化されていますが、実装の品質・設定・パッチ適用が前提です。導入後も機器更新と安全設定を継続してください。

Q. WPA3-PersonalとWPA3-Enterpriseの違いは？

Personalは主にパスワード方式（SAE）で家庭・小規模向け、Enterpriseは802.1X/EAP（RADIUS等）を使う企業・組織向けです。

Q. WPA3でパスワードは不要になりますか？

不要になるわけではありません。WPA3-Personalでも共有パスワードは使いますが、SAEにより推測攻撃への耐性を強化します。

Q. WPA3はオフライン辞書攻撃に強いとはどういう意味ですか？

通信の一部を盗聴されても、攻撃者が手元で大量の候補パスワードを機械的に試し続ける形になりにくい、という設計上の強化を指します（ただし運用・実装にも依存します）。

Q. 公衆Wi-Fi（暗号なしSSID）はWPA3でどう変わりますか？

Enhanced Open（OWE等）により、同じネットワーク上の第三者からの盗聴耐性を高める方向で整備されています。ただし、アクセスポイントの正当性検証まで自動で保証するものではないため、用途に応じてVPN等も併用してください。

Q. WPA3-Enterpriseの「192ビットモード」とは何ですか？

より高いセキュリティ要件を想定した暗号・ハッシュ構成を選ぶモードです。一般的な環境では必須ではなく、要件と端末対応状況に合わせて選定します。

Q. 既存のルーターはWPA3にできますか？

機種によります。ファームウェア更新で対応する場合もありますが、非対応の機器もあります。メーカーの対応状況を確認してください。

Q. WPA2/WPA3の「移行モード」は使っても大丈夫ですか？

互換性確保に有効ですが、構成次第で攻撃面が増えることがあります。端末の対応状況を見ながら、最終的にはWPA3専用へ寄せるのが安全です。

Q. WPA3でも脆弱性（Dragonbloodなど）は出ますか？

出る可能性はあります。重要なのは「出ないこと」ではなく、情報収集・アップデート・安全設定を継続して影響を最小化する運用です。

Q. WPA3に加えてやるべき無線LAN対策は？

端末管理（更新・棚卸し）、認証基盤（802.1X/RADIUS）、ネットワーク分離、監視・ログ運用、必要に応じたVPN併用など、多層防御で設計すると効果が上がります。