Wi-Fiのセキュリティ対策で確認すべき7つのポイント

運用管理

はじめに

本記事をご覧いただいている皆様の職場では、Wi-Fi(無線LAN)による社内ネットワークへのアクセスを利用者へ許可していますか?

最近では、モバイルPCやタブレット等の利用増に伴い、企業内でもWi-Fiの利用が一般的になってきています。Wi-Fiは、通信が高速でネットワークに参加しやすいため、非常に便利ですが、一方でデータの盗聴、不正侵入といったセキュリティリスクもあるため、導入時にしっかりとしたアクセス制御・暗号化等のセキュリティ対策が必要です。

今回の記事では、企業または店舗でWi-Fiアクセスポイントを設置する際に、セキュリティ対策(情報漏えい対策)として確認すべき7つのポイントについてご紹介します。

確認すべき7つのポイント

Wi-Fiアクセスポイントを設置する際は、以下の7つのポイントを確認し、セキュリティ対策を実施されることをお勧めします。

wlan-146898_640.png

1. 安全な場所にWi-Fiアクセスポイントを設置する

Wi-Fiアクセスポイント(Wi-Fiルーター)に対して物理的に第三者から手の届く場所に設置してあったり、LANケーブルが見えていたりするとセキュリティ上問題があります。

Wi-Fiアクセスポイントに接続されているLANケーブルを抜いて社内ネットワークに侵入したり、WPS(Wi-Fi Protected Setup)という簡単にWi-Fi接続できる機能を使用して不正にWi-Fiに接続したりといったことが可能になってしまいます。

2. 管理コンソールへのアクセスを制限する

最近のWi-FiアクセスポイントのほとんどがWebベースの管理コンソールを用意しており、Webブラウザー上からWi-Fiアクセスポイントの設定を確認したり、設定を変更したりすることができます。

しかし、この管理コンソールが悪意のある攻撃者から狙われる可能性もあるため、「指定したIPアドレスからしかアクセスできないようにする」、「初期パスワードから複雑なパスワードに変更する」といった対策を必ず実施してください。また、Wi-Fiアクセスポイントが対応していれば、HTTPS通信にして通信を暗号化する対応も実施してください。

3. 最新のWi-Fi認証・暗号方式を採用する

WEP、WPA、WPA2といった略語をご存知でしょうか?これらは、Wi-Fiに接続する際に使用される認証・暗号化方式の名称です。以下に概略をまとめます。

  • WEP(Wired Equivalent Privacy)
    WEPは、Wi-Fiの暗号化技術として最初に採用された規格です。現在では簡単に暗号化が解読されてしまうため、推奨されません。
  • WPA(Wi-Fi Protected Access)
    WPAは、WEPの脆弱性な部分を改善するために開発された規格です。一定時間ごとに暗号鍵が変更されるため、より安全です。しかし、WPAでも暗号化が解読される可能性があり、こちらも推奨されません。
  • WPA2(Wi-Fi Protected Access 2)
    WPA2は、WPAに新たな暗号化方式(CCMP)を使えるように改善されたもので、現在はWPA2を使用することが最も安全と言われています。

以前は、WEP、WPAがWi-Fiの認証・暗号方式として一般的に普及していましたが、比較的容易に通信を解読できる方法が見つかっているため、現在では「WPA2」が主流となっています。セキュリティレベルを維持するために常に最新のWi-Fi認証・暗号方式を採用するようにしてください。

なお、「WPA2」のセキュリティ拡張版である「WPA3」が2018年中(2018年2月執筆時点)には利用可能になるとの見通しなので、今後はWPA3の利用が増えてくるでしょう。

4. 複雑なパスワードを設定する

最新のWi-Fi認証・暗号方式を採用しても、安易なパスワードを設定することは危険です。悪意のある攻撃者は、いわゆる「辞書攻撃」と呼ばれる手法を用いて、よく使用されるパスワードを総当たりで不正ログインを試行します。

そのため、以下を参考に複雑なパスワードを設定してください。

  • 個人情報からは推測できないこと
  • 英単語やよくある名称などをそのまま使用しないこと
  • 適切な長さの文字列であること
  • 類推しやすい並び方やその安易な組み合わせにしないこと
  • 少なくとも16文字以上とすること(総務省では21文字以上を推奨

5. ファームウェアを更新する

Wi-FiアクセスポイントのファームウェアやWi-Fi認証・暗号方式自体に脆弱性が存在する場合も報告されています。脆弱性を放置しておくと、セキュリティホールになりデータの盗み見・改ざんの恐れがあります。

セキュリティベンダー等からWi-Fiに関する脆弱性情報を収集し、影響範囲や対応措置について確認するように心がけてください。Wi-Fiアクセスポイントを提供しているベンダーより脆弱性に対応したファームウェアやパッチがリリースされている場合は、速やかに更新するように計画してください。

6. アクセス認証をさらに強化する

より高いセキュリティレベルにするために、MACアドレス認証といわれるMACアドレスを使用した認証や、WPA2-EAPといわれる認証サーバーを使用した認証等を使用する方法があります。

  • MACアドレス認証(※非推奨)
    MACアドレス認証は、事前に接続を許可するMACアドレスをWi-Fiアクセスポイントに登録しておくことで、登録されていない機器からの接続を防ぐことができます。但し、MACアドレスの偽装は簡単と言われているため、接続しているPCが存在する場合はあまり有効ではありません。
  • WPA2-EAP
    WPA2-EAPは、簡単に言いますと、認証サーバーを使用してWi-Fiにアクセスするユーザーの識別・認証を行います。MACアドレス認証では誰がWi-Fiに接続したか判別できませんが、WPA2-EAPはユーザー単位で認証できるため、大規模向けの認証方式となり、WPA2エンタープライズとも言われています。
  • その他の暗号化通信と併用する
    例え、Wi-Fiの通信が解読されたとしても、HTTPSやVPNといった暗号化通信を使用していれば盗み見・改ざんされるリスクを減らすことができます。極力、業務で使用するアプリケーションの通信を暗号化するようにしてください。万が一、Wi-Fi通信が解読された場合でも安心です。

7. 自動接続しないよう周知徹底する

フリーWi-Fiに自動的に接続してしまうことで、メールパスワードが盗み見られたり、ステルス化している企業内のSSIDがフリーWi-Fi上に流れてしまったりして、解析の対象となる恐れがあります。

スマートフォンやモバイルPCを使用されている従業員の方に、カフェや空港にあるフリーWi-Fiに自動的に接続しないように周知徹底してください。

まとめ

Wi-Fiのセキュリティ対策で確認すべき7つのポイントについてご紹介しましたが、いかがでしたでしょうか?情報システム部門のご担当者にとっては、ご存知の内容が多かったかもしれません。

情報システム部門が管理するWi-Fiアクセスポイントの台数が少ないうちは、これらの7つのポイントを踏まえて、セキュリティを維持していくことは難しくはないと考えます。しかし、Wi-Fiアクセスポイントの台数が増えてきた場合や遠隔地にあるWi-Fiアクセスポイントを管理しなければならなくなった場合は、どうでしょうか?

弊社では、「マネージドWi-Fiサービス」というサポート付きのWi-Fiアクセスポイントを月額料金で提供しております。各種セキュリティ設定をリモートから実施できるだけでなく、Wi-Fiに接続できないといったお問い合わせにも対応できるヘルプデスクもご用意しております。ご興味がありましたら、弊社までお気軽にお問い合わせください。

関連サービス:マネージドWi-Fiサービス