無線LANセキュリティ
無線LANのセキュリティリスク
無線LAN(Wi-Fi)は利便性が高い反面、電波が物理的な壁を越えて届くため、有線LANと比べてセキュリティリスクが高くなります。オフィスの外からでも電波を受信できるため、適切な暗号化と認証の設定が不可欠です。
暗号化方式の変遷
| 方式 | 安全性 | 備考 |
|---|---|---|
| WEP | 危険(使用禁止) | 数分で解読可能。絶対に使わない |
| WPA | 非推奨 | TKIPを使用。脆弱性あり |
| WPA2-Personal | 標準 | AES暗号化。共有パスワード方式 |
| WPA2-Enterprise | 推奨 | 802.1X認証。ユーザーごとに個別認証 |
| WPA3 | 最も安全 | SAE認証。最新機器で対応 |
WPA2/WPA3の設定ポイント
- WPA2を使う場合はAES(CCMP)を選択。TKIPは脆弱性があるため使用しない
- 共有パスワード(PSK)は20文字以上の複雑な文字列を設定
- 可能であればWPA3対応のアクセスポイントに更新
- WPA3はSAE(Simultaneous Authentication of Equals)により、オフライン辞書攻撃に耐性がある
802.1X認証(WPA2-Enterprise)
中規模以上のオフィスでは、802.1X認証の導入を推奨します。RADIUSサーバーを使って、ユーザーやデバイスごとに個別の認証を行います。
- Active Directoryのアカウントで無線LAN認証が可能(NPSサーバーを利用)
- 共有パスワードの漏えいリスクがない
- ユーザーごとにアクセスログが取得できる
- 退職者のアクセス権を即座に無効化可能
Windows ServerのNPS(Network Policy Server)役割を追加すればRADIUSサーバーとして機能するため、追加コストを抑えて導入できます。
ゲストネットワークの分離
来客用のWi-Fiを提供する場合は、業務用ネットワークと必ず分離します。
- 別のSSIDを設定し、業務用とゲスト用を区別
- VLANで論理的にネットワークを分離(ゲストから社内リソースにアクセス不可に)
- ゲスト用はインターネット接続のみ許可し、社内サーバーへの通信はブロック
- 利用規約の同意画面(キャプティブポータル)を表示
- 帯域制限を設定し、業務通信への影響を防止
不正アクセスポイント対策
従業員が無断で設置する個人用のWi-Fiルーター(不正AP:Rogue AP)は、セキュリティホールになります。
- 社内ポリシーで無断の無線AP設置を禁止する旨を明記
- 定期的にSSIDのスキャンを実施し、不審なAPを検出(スマホアプリの「WiFi Analyzer」等で可能)
- PoE対応スイッチで未認可のデバイスへの電源供給を制御
- エンタープライズ向けAPには不正AP検知機能を持つ製品もある
無線LANは「設置して終わり」ではありません。暗号化方式の見直し、ファームウェアの更新、不審な接続の監視を定期的に実施しましょう。
✅ 完了済み