企業のWi-Fiのセキュリティ対策とは リスクや暗号化方式の違いも解説

企業のWi-Fiのセキュリティ対策とは リスクや暗号化方式の違いも解説

  • ツギノジダイ
  • 更新日:2021/07/20
No image

企業でWi-Fiを導入するときは、情報を盗み取られないようセキュリティ対策が欠かせません。家業の「サンケイエンジニアリング」での導入経験をもつ笠原大瑚さんがWPA2やWPA3といった暗号化方式やシャドーITのリスクへの対応も含めて解説します。

無線LANとは

無線LANとは、電波でデータの送受信を行う構内通信網(LAN:Local Area Network)の一つです。

LANとは、PCやプリンタなどをつないで、データをやりとりできるようにしたネットワークのことで、LANケーブルを使ったものが有線LAN、ケーブルの代わりに無線通信を使うものを無線LANと呼びます。

無線LANの仕組み

無線LANの仕組みは、総務省の「国民のための情報セキュリティサイト」の図が参考になります。

No image

無線LANの仕組み(総務省の「国民のための情報セキュリティサイト」から引用)

無線LANは、外部からオフィス構内に回線を引き入れて終端に光回線の信号をデジタル信号に変換する「ONU」を設置し、ONUやルータなどをLANケーブルで有線接続するところまでは有線LANと変わりがありません。

無線LANの大きな特徴は、ルータの後にアクセスポイント(AP)と呼ばれる機器を接続し、アクセスポイントと端末の間で無線接続を行っていることにあります(家庭用などではルータにAPの機能が組み込まれているものも)。

無線LANとWi-Fiの違い

無線LANのことを”Wi-Fi”と呼ぶのが一般的になっていますが、厳密には「Wi-Fi = 無線LAN」ではありません。Wi-Fiとは本来、業界団体「Wi-Fi Alliance」から相互接続性の認証を受けた機器のことを意味し、Wi-Fi認証の機器が普及した結果「無線LAN=Wi-Fi」というイメージが定着しました。

現在では、Wi-Fi認証を冠した機器が大多数を占めているため、無線LANをWi-Fiと呼称しても特に問題はないでしょう。

Wi-Fiのメリット

電波の届く範囲ならどこでもネットワークに接続可能

有線LANの場合は、オフィスのどこでネットワークへ接続するのかを想定して予め配線しなければならず、配線の有無やケーブルの長さなどによってネットワーク接続可能なエリアが限定されてしまいます。

しかし、無線LANの場合は配線を必要とせず、電波の届くエリアであればどこでもネットワークへ接続可能になります。

床下天井裏などのLANケーブル配線工事が不要

有線LANの場合は、床下や壁などへの配線が必要なため、一度配線をしてしまうと、後から自由にレイアウトを変更することが困難になります。一方、無線LANでは、配線が不要なのでオフィスのレイアウトを柔軟に変更できるほか、フリーアドレス制の導入や会議室でのネットワーク接続なども簡単です。

スマートフォンやタブレットPCでも簡単に接続可能

業務効率化のために、中小企業でも業務にスマートフォンやタブレットPCを使用する例が増えています。スマートフォンやタブレットPCでは、無線LANを利用したネットワーク接続が一般的であるため、無線LANを利用することで業務への導入が簡単になります。

Wi-Fiのデメリット

有線LANと比較して速度や安定性が劣りやすい

無線LANは電波で接続しており、障害物の有無や距離の長さなどが速度や安定性に影響を与えるため、有線LANと比較して速度や安定性が劣る傾向にあります。

そのため、元々の回線速度は速いのか?オフィスのどこでWi-Fiに接続したいのか?どれだけの端末が接続するのか?などを考慮して適切な環境を構築する必要があります。

セキュリティリスクの増加

有線LANはLANケーブルが物理的に接続していないとネットワークへ入れませんが、無線LANの場合は「通信の傍受」「暗号化していない」「アクセスキーが簡単」などが原因で外部からアクセスされるリスクがあり、無線LANの導入にあたってはこれらのセキュリティリスクに対して適切な対策を講じる必要があります。

企業でWi-Fiを利用するリスク

無線LANには様々なメリットがある一方で、無計画に導入してしまうと、セキュリティリスクを増加させてしまうことになりかねません。そこで、企業で無線LANを導入する場合に想定されるリスクについて紹介していきます。

第三者による情報の不正取得

無線LANは有線LANと異なり、電波を通じて情報のやりとりを行うため、電波の届く範囲であれば第三者に情報を取得されてしまう恐れがあります。

第三者によるWi-Fiの無断利用

簡単なパスワードを設定している場合や暗号化を行っていない場合、第三者に無断でWi-Fiを利用されてしまう可能性があります。第三者の悪意ある無断利用によって、スパム行為やハッキング、PCの遠隔操作などに利用されてしまった事例もあります。

パスワード突破時の情報漏洩

無線LANでのよくある情報漏洩の原因の一つに、パスワードがあります。パスワードには、そもそも未設定、パスワードが簡単、長い間変更していないなど様々なリスクがあり、パスワードを突破された場合、ネットワークは無防備になってしまいます。

そうなると、第三者から不正にアクセスされて企業データの流出や悪意を持った利用に使われてしまうことになりかねません。

従業員の私用端末によるシャドーIT

企業で利用する場合、特に気を付けたいのが従業員が無断で私用端末をWi-Fiに接続してしまうことです。企業・組織側が把握せずに従業員などが業務に利用しているデバイスやクラウドサービスのことを「シャドーIT」と呼びます。

社用端末であればセキュリティ対策などを行うことができますが、私用端末の場合は会社側で管理することができず、社内のWiFiに接続されることで様々なリスクが発生します。

日本労働研究機構による平成14年度の調査では、9割の企業で「社員が職場のインターネットを私的利用していると思う」との結果が出ており、2021年時点でも中小零細企業では私的利用に関する対策が取られていない場合があります。

家庭用のネットワーク機器を利用している

家電量販店などで売られている家庭用のルータはアクセスポイントの機能もついており、接続するだけで簡単に使うことができるため、使用している企業もあります。しかし、家庭用は法人利用を想定していないため、法人用機器と比較してセキュリティ対策が不十分である場合が多いです。

セキュリティリスクへの対策

法人用のネットワーク機器を利用する

企業でWi-Fiを利用する場合は、家庭用ではなく法人用のネットワーク機器を利用しましょう。法人用機器は家庭用と異なり、不正アクセスの検知や遮断など第三者からの攻撃に対するセキュリティ対策をしっかりでき、多拠点・複数端末での管理がしやすいものも多く、運用する管理者の負担を低減することができます。

最新の規格による通信の暗号化を行う

第三者からの不正アクセスや無断利用を防ぐためには、通信の暗号化をしっかりと行う必要があります。古い暗号化規格は簡単に解読されてしまうため、もしこれからWi-Fiの導入を検討する場合は、最新規格である「WPA3」に対応している機器を選ぶことをおすすめします。

すでにWi-Fiを導入済みで機器が「WPA3」に対応していない場合は、暗号化規格を「WPA2」に変更し、「WPA2」以下の規格だった場合には機器を買い替えましょう。

エンタープライズ認証を利用する

無線LANの認証方式には、家庭向けとして広く利用される「パーソナル認証」と、企業向けで利用が推奨されている「エンタープライズ認証」があります。

パーソナル認証は、一つのパスワードを用いて全端末の認証を行う方式ですが、この方式では複数のユーザーが同じパスワードを共有するため、パスワードが外に漏れるリスクが高まってしまいます。

個人用途や数人規模の企業であれば、パーソナル認証のリスクを理解した上で運用する選択肢もありますが、数十人規模以上の中小企業であれば、エンタープライズ認証を利用しましょう。エンタープライズ認証には大きく分けて「ID / パスワード認証」「 電子証明書認証」という二つの種類があります。

①ID / パスワード認証

ID / パスワード認証とは、社員毎にIDとパスワードを発行して個別で認証を行う方式です。個別にID/パスワードを発行することで管理や運用が楽になるほか、万が一誰かのパスワードが流出した場合でも、該当社員のアカウントのみを変更もしくは利用停止すれば良いため、全社員や業務への影響を最小限に抑えることができるなどのメリットがあります。

一方、端末単位ではなくユーザー単位で認証を行うため、従業員による私用端末のWi-Fi利用(シャドーITとも呼ばれる)を防ぐことは難しくなります。ID / パスワード認証を採用する場合は、利用者や接続端末をログで閲覧可能な無線LAN機器などを導入し、管理者が定期的にチェックしてアクセスを遮断する、該当従業員へ注意喚起を行うなどの施策と併用する必要があります。

②電子証明書認証

電子証明書認証とは、端末を正しく識別&認証するための電子証明書と呼ばれるものをデバイスに導入し、導入済みの端末のみにアクセス許可を行う方式です。

電子証明書認証では、端末単位で認証を行うためID / パスワード認証のデメリットであるシャドーITを完全に防ぐことができるほか、従業員がデバイスを紛失した場合でも、デバイスを削除してしまえばアクセスが不可になるため運用性、セキュリティ性にも優れています。

一方、電子証明書認証では別途認証サーバを構築&運用する必要があるため、アクセスポイント単体でサーバー機能を持つ製品が発売されたり、クラウドで簡単に構築できるようになったとはいえ、他の認証方式と比較して導入のハードルは比較的上がります。

家庭用機器を利用するなら複数の対策と組み合わせる

法人用機器でのエンタープライズ認証を利用する場合は、セキュリティも極めて高くなるほか、管理者の運用管理も楽になるため中小企業で無線LANを導入する場合は是非とも取り入れてほしい施策です。

しかし、セキュリティを強化するほどコストが増加しやすいトレードオフの関係になっており、小規模な会社などでは費用対効果が合わないこともあります。

どうしても家庭用機器でWi-Fiの利用を行う場合には、最新の暗号化規格を設定し、パスワードも大文字小文字と英数字を交えた複雑なものにして定期的に変更する、特定の端末のみを接続させる「MACアドレスフィルタリング」を利用するなど複数の対策と併用してセキュリティを高めましょう。

企業で無線LANを導入する流れ

ここからは企業で無線LANの導入を担当する方に向けて、実際にどのような手順で導入を進めていくのか筆者が企業で導入した方法を例にして解説します。

無線LANの導入目的を考える

まず「そもそも何故無線LANを導入するのか?」について考えましょう。目的が決まってくると、それを達成するためには本当に無線LANでなければ実現できないのか、無線LANでしか実現できないのであればどのような機器構成やセキュリティを選択すれば良いのかなどが見えてきます。

筆者が担当する前は、有線LANによるネットワーク接続を行っていた他、一部では家庭用ルータを用いた暫定的なWi-Fi利用によるシャドーITがあったため、筆者が実際の導入時に考えた導入目的の一部を紹介します。

LANケーブルの配線が難しい場所でも社内ネットワークへ接続したい

法人用スマートフォンを業務へ導入して業務効率化を図りたい

配線をなくしてオフィスの見栄えを良くしたい

シャドーITを防ぎたい

フリーアドレス制にしたい

目的に向けた要件定義を行う

導入目的を実現するために、以下のような要件定義をしました。

無線LANを導入する

オフィスの配線をなくし、業務へスマートフォンを導入するためには有線LANのままでは難しく、無線LANの導入でしか実現できません。

エンタープライズ認証(ID / パスワード方式)を採用

シャドーITを防ぐためには、一つのパスワードだけで運用するパーソナル方式ではなく、エンタープライズ方式が最適と考えました。

ID / パスワード方式を採用

社内調査した結果、社員一人あたり複数台のデバイスを所有しており、デバイス1台ごとにコストが発生する電子証明書方式ではランニングコストが予算オーバーになってしまうため本方式を採用しました。

現在契約している通信業者と契約プランを調べる

無線LANは、有線より速度が低下してしまうことがあり、有線LANの時点である程度の回線速度がないと快適に利用できません。

そのため、まずは会社で利用しているインターネット回線の業者と契約プランを調べましょう。

光回線を利用している場合は、契約プランに記載されている速度(下り&上り)を確認しましょう。記載されている速度の多くは理論値なので、実際の速度はこれを下回ることがほとんどです。

今はweb会議などの普及が進み、ある程度の通信速度が必要となるため理論値の段階で最低でも上下30Mbps以上あるのが望ましいと考えます。

30Mbps以下の場合は、通信速度がより速いプラン(できれば上下100Mbps以上)に変更する、回線業者を変更するなどを検討しましょう。

実際の通信速度を計測する

契約プランに記載されている回線の速度理論値が基準値を満たしている場合、実際の速度を計測して理論値の速度と実際の速度の乖離を確認しましょう。

測定手順

有線LANをPCに接続する(端子がない場合は、別途イーサネットハブ等を使用)

インターネット速度計測サイトを開く(「speedtest」「スピード計測」などの単語を検索エンジンで検索して検索結果に出てきたサイトがオススメ)

実際の速度を計測する(3回ほど計測して全ての結果が同程度ならOK)

測定結果を確認する(業務利用に支障ない速度の目安は上下10~30Mbps程度ですが、有線接続の時点で上下100Mbps以上あることが望ましい)

通信機器の規格や状態を把握する

実際の速度が基準値以下だった場合でも諦める必要はありません。有線LANでインターネットへ接続する場合、LANケーブルやスイッチングハブの規格によって速度が大きく変動するからです。

実際に無線LANを導入した際も、アクセスポイントまでの間にLANケーブルやスイッチングハブ(ネットワークの中継装置)が入る場合は通信速度に影響を及ぼすため、あらかじめ規格を確認しておくことが重要となります。

LANケーブル

LANケーブルはカテゴリーの種類により最大通信速度が異なります。上下1Gbpsの光回線でも、LANケーブルの上限が100Mbpsの場合は最大通信速度は100Mbpsに抑えられてしまいます。

費用と性能のバランスが良く、近年出てきた通信速度10Gbpsの回線プランにも今後対応できることなどからCAT6AのLANケーブルをオススメする。ただし、配線が長くなり、コストがかかりそうであればCAT6を選択する方法もあります。

スイッチングハブ

スイッチングハブもLANケーブルと同様に規格によって最大通信速度が異なります。2021年時点では、最大通信速度1Gbpsの光回線が最も普及しているため、最大通信速度1000Mbpsの規格を選択しておくと良いでしょう。

アクセスポイント(AP)管理方法の決定

自社の導入目的や要件定義、現状把握ができたら実際に無線LANを導入していくことになります。機器の選定にはアクセスポイントの管理方法を決める必要があります。管理者がアクセスポイントをどのように管理したいかによって、業者や機器の選定も異なるからです。

法人用無線LAN導入の際に必要となる主な機器は「コントローラー」と「アクセスポイント」です。コントローラーとは、アクセスポイントの管理機能を有する装置を指し、「アクセスポイント(AP)」とは、PCなどと実際に無線接続を行う機器のことを言います。

無線LANを構築するには、アクセスポイントの管理方法によって管理者の負担や必要機器などが異なるため、アクセスポイントの管理方法で選ぶのもおすすめです。

アクセスポイントの管理方法には主に「自律型」「集中管理型」「仮想コントローラー型」「クラウド管理型」の4つがあり、それぞれの比較を表にまとめました。

筆者は前職で、複数台のアクセスポイントを複数拠点で稼働させることを想定していましたが、管理者は筆者のみであり、他拠点でトラブルがあった際にも遠隔で迅速に解決できることが望ましかったため「クラウド管理型」の機器を選びました。

年間のライセンス費用はかかりますが、複数拠点の無線LANを一括管理したい企業では「クラウド管理型」が特におすすめです。

機種の選定と設置場所の事前調査

アクセスポイントの管理方法が決まれば、どの企業の機器を導入するのが最適かが絞られます。機種の選定と導入台数の決定には「APの同時接続可能台数」「APの電波が届く範囲」の二つの条件で決めましょう。

仮に今回のデバイス接続台数が20台として、APの電波範囲にデバイスがある場合は、同時接続台数上限が20台以上ある機種を選べばカバーできます。一方、広いオフィスに20台が分散しているような、APの電波が届きにくい環境の場合にはAPを複数台設置する必要が出てきます。

つまり、どんなスペックの機種を何台何処に設置するのか、によってもネットワークの構築状態は変わるので、導入の際には「トライアルで実際に同時接続台数や電波のカバー範囲などを確認」「販売業者に電波状況調査と機種の選定を依頼」などの方法を踏まえて機種と設置場所を検討してください。

アクセスポイントの設置、メッシュWi-Fiも検討

機種と設置場所を決定することができたら、実際にアクセスポイントを設置しましょう。アクセスポイントまではルータやコントローラーから有線LANで接続する必要があるため、設置場所までLANケーブルが配線してあることが望ましいです。

近年は、有線LANで接続済みと未接続のアクセスポイントそれぞれが電波の届く範囲にある場合、連携して電波の届く範囲を拡張できる「メッシュWi-Fi」という技術も登場しています。LANケーブルの配線が煩雑な場合は、メッシュWi-FI対応の機種を利用してみるのも手です。

配線は、床下床上配線が主流となりますが、自分たちだけでは配線が難しい場合もあるので、その場合はLANケーブルの配線業者に依頼しましょう。あとは、あらかじめ決めていた場所にアクセスポイントを取り付ければ完了となります。

初期設定と接続試験

アクセスポイントの取り付けが終わったら、機種のマニュアルに従って設定をすすめましょう。設定が終わったら、インターネット接続の可否や回線速度計測サイトで回線速度がどれくらい出ているかなどを確認する。

複合機やオンプレミスのファイルサーバーが正しく利用できるかなども意外と忘れがちなので気を付けてください。

使用に問題ないことがわかったら、従業員にIDとパスワードを展開しましょう。社員ごとにIDとパスワードを発行している場合、基本的に従業員へ伝えて問題ありませんが、複雑なパスワードにすると従業員がパスワードを紙に書いて保管するなど新たなセキュリティリスクが発生しかねません。

そこで、デバイスの台数が管理者で?対応可能なレベルであれば、管理者が個別に接続作業を行った方が良いでしょう。一つの共用パスワードを使って接続する場合は、シャドーITを防ぐため、従業員へ展開するのは控えるようにしましょう。

セキュリティ対策が補助金の条件にも

IT導入補助金2021の申請では、IPA(情報処理推進機構)が創設した「SECURITY ACTION」を宣言していることが必須要件となりました。

この宣言は必須ではありませんが、きちんと対策を行っているかということが補助金の支給要件として今後ますます増えそうです。

この中には無線LAN利用時のセキュリティ対策なども含まれています。いきなり対策するのは大変ですが、今できるところから少しずつ始めていきましょう。

参考

無線LANのしくみ

政府広報オンライン

日本労働研究機構「職場のインターネットの私的利用について」(労働に関する WEB 企業調査)

Cisco Meraki 高密度 Wi-Fi 導入ガイド

IPAセキュリティアクション

笠原大瑚

この記事をお届けした
グノシーの最新ニュース情報を、

でも最新ニュース情報をお届けしています。
  • このエントリーをはてなブックマークに追加