1. コラム
  2. コラム
  3. 【Wi-Fiセキュリティの基本】暗号化・認証方式と対策のポイント

【Wi-Fiセキュリティの基本】暗号化・認証方式と対策のポイント

オフィス環境

Wi-Fi環境を構築する際に、どのようなセキュリティ対策を施せばよいか分からない方もいるのではないでしょうか。Wi-Fiの通信には、情報を暗号化したり正規ユーザーの認証を行ったりなど、セキュリティを高める手段があります。

この記事ではWi-Fiセキュリティを高める通信方法や、無線アクセスポイントの機能を紹介します。

Wi-Fiセキュリティが必要な理由

誰もがWi-Fiに接続できるようになったり、通信が暗号化されなかったりすると、セキュリティリスクは高くなります。Wi-Fiセキュリティを怠ると、大損失を招く恐れがあるでしょう。まずは、なぜWi-Fiにセキュリティが必要なのかを解説します。

インターネットをタダ乗りされる

無線アクセスポイントやモバイルルーターなどのWi-Fiネットワーク機器は、常に一定間隔でビーコン情報を周辺のデバイスへ送信しています。ビーコンとは、無線ネットワークを同期させるためのパケット情報のことです。

この情報を基にデバイス側ではSSID(無線アクセスポイントを識別する名前)を選択できますが、パスワードが設定されていなかったり容易に看破できたりする場合、インターネットをタダ乗りされてしまいます。

【関連記事:SSIDとは?調べ方や関連機能、セキュリティ対策まで徹底解説

通信内容を傍受・解読され情報漏えいにつながる

通信内容が暗号化されていなかったり、暗号化の強度が低かったりした場合、第三者に情報を解読される危険性があります。例えば社内システムに接続し、IDやパスワードを入力してログインすると、攻撃者にそれらの情報が外部に漏れてしまうでしょう。

暗号化の強度とは、複合する際に使用する、暗号鍵の複雑さのことです。一般的に暗号鍵のデータが長かったり、複雑な計算を用いる暗号方式を使用したりすると、暗号鍵の強度は強くなります。

LAN内デバイスへ不正アクセスされる

容易にWi-Fi接続ができてしまうと、無線アクセスポイント経由で、第三者に社内LANへ侵入される恐れがあります。例えば社内のファイルサーバーに不正アクセスされると、機密情報の漏えいにつながるでしょう。

基幹システムにまで侵入されると、パスワードの改ざんによりシステムが利用できなくなる危険性もあります。

LAN内デバイスがサイバー攻撃の踏み台にされる

無線アクセスポイントや社内LANデバイスが乗っ取られた場合、マルウェア配布などの踏み台にされる危険性があります。顧客や取引先、他社に迷惑をかけてしまうと社会的信頼の失墜だけでなく、場合によっては賠償金を請求される恐れもあるでしょう。

攻撃者は踏み台へのアクセス記録を削除したり改ざんしたりするため、真犯人の特定はほとんども場合、困難です。

Wi-Fiセキュリティ規格の暗号化方式

これまでWi-Fiのセキュリティを高めるために、さまざまな暗号化方式が開発されました。大きく分けて3種類の暗号化方式がありますが、暗号化プロトコルのAES以外はぜい弱性が発見されており、使用は推奨されていません。それぞれの暗号化方式を紹介します。

WEP(RC4)

WEPはWi-Fiが世に登場した後にできた、最初期の暗号化方式です。元々Wi-Fiは暗号化の仕組みがなかったため、誰でもWi-Fiにタダ乗りできていました。

そこでセキュリティを高めるために登場したのがWEPです。暗号化に「RC4」アルゴリズム(共通鍵暗号方式の1つであり、1ビット単位で暗号化と複合が可能)を用いてデータを保護し、無線アクセスポイントとデバイスに共通の暗号鍵を設定する必要があります。

しかし、2000年頃から複数のぜい弱性が発見されており、一般的に使用は推奨されていません。

【関連記事:WEPとは?Wi-Fi暗号化の仕組みやぜい弱性、改良の歴史を解説

TKIP(RC4)

WEPを改良して作られたものがTKIPと呼ばれる暗号化方式です。より安全性を高めるために、認証方式「WPA」にTKIPが採用されました。TKIPは暗号鍵生成の算出に、一定送受信回数ごとに切り替わる一時鍵や、デバイスで固有に持っているMACアドレスを加えます。

暗号鍵は時間の経過とデバイスによって変化するため、攻撃者は短時間で解読しなければなりません。

WEPに比べセキュリティが高められているものの、ぜい弱性が発見されたため、一般的にTKIPの利用は非推奨です。

CCMP(AES)

TKIPをより強固なセキュリティにした暗号化方式がCCMPです。CCMPは認証方式「WPA2」に採用されており、安全性が高く使用が推奨されています。

暗号化に使用しているアルゴリズムは、鍵長が128ビットある「AES」です。通信を傍受するためには暗号の解読に加え、メッセージ認証も必要なため、高い安全性を誇ります。

Wi-Fiセキュリティ規格の認証方式

Wi-Fiセキュリティを高める認証方式は、主にWPA・WPA2・WPA3の3つです。それぞれの認証方式とTKIPやAESなどの暗号方式を組み合わせることで、セキュリティレベルが異なります。認証方式の技術内容等について、それぞれ見ていきましょう。

WPA

WPAはWEPを改良した認証方式です。暗号化のアルゴリズムはWEPと同じRC4が採用されています。暗号方式にTKIPを用いた上、事前に周知された事前共有鍵(PSK)と呼ばれるパスフレーズを使用して認証するなど、通信の安全性がより強化されました。

しかしぜい弱性が発見されたこともあり、利用は推奨されていません。

WPA2

WPA2はWPAをさらに改良した認証方式であり、強力な暗号化アルゴリズムであるAESを使用した、暗号化方式CCMPを採用しています。同じWPA2でも暗号化方式にTKIPを用いたものもありますが、推奨されているのはAESを利用した方式です。

WPAと同様に、事前共有鍵を用いたパーソナルモードと、RADIUS認証サーバー(正規ユーザーかどうか判断するサーバー)による認証を使用したエンタープライズモードを選択できます。

WPA3

WPA2をさらに改良したものがWPA3です。WPA2は安全性が強化された認証方式ですが、いくつかぜい弱性が発見されています。

WPA3の特徴の1つが「SAE」と呼ばれる鍵交換方式です。これは従来の事前共有鍵(PSK)に代わる方式で、中間者攻撃から情報を守ります。高速Wi-Fi規格である「Wi-Fi6」対応機器でサポートが進んでいる認証方式は、WPA3です。

【関連記事:Wi-Fi6とは?5Gとの違いやメリット、おすすめ機器をわかりやすく解説

お問い合わせはこちら

より強固なWi-Fiセキュリティを確保するポイント

無線アクセスポイントには、セキュリティ機能が搭載されたものもあり、これらの機能を使うことでより強固なセキュリティを担保できます。ファームウェアのアップデートを欠かさないことなども重要です。Wi-Fiセキュリティを確保する、いくつかのポイントを紹介します。

最も安全なWi-Fiセキュリティ規格を利用する

基本的にWPA3で通信するなど、できる限りセキュリティの高い認証方式や暗号方式を利用しましょう。

WPA3を利用する条件として、無線アクセスポイントなどの親機と、PCやスマートフォンなどの子機がどちらもWPA3対応仕様でなければ利用できません。

セキュリティの高い認証や暗号化方式に加え、ファームウェアのアップデートを自動化するなど、他のセキュリティ対策も意識するようにしましょう。

SSIDや暗号化キーを再設定する

無線アクセスポイントによっては、初期のSSIDと暗号キーが機器本体に記載されている場合があります。機器を確認すれば誰でもWi-Fiが利用できてしまうため、SSIDと暗号キーは再設定しましょう。

また退職者が出た場合、直ちに利用を停止する措置が必要です。退職後に不正アクセスし、機密情報を持ち出してしまう恐れもあります。

Wi-Fiルーターの管理パスワードを再設定する

無線アクセスポイントによっては、工場出荷時のSSIDやパスワードが、製造される全ての機器で統一されていることがあります。

これらはインターネットに公開されているマニュアルなどに記載されている場合が多いため、初期設定のままにしておくと誰でもWi-Fiを利用できてしまうでしょう。場合によってはパスワードを変更され、機器を乗っ取られる可能性もあります。無線アクセスポイントを購入したら、まずはSSIDとパスワードを変更しましょう。

ファームウェアをアップデートする

メーカーがファームウェアのアップデートを提供する場合があります。機能を追加したりセキュリティを向上したりするために、これらの最新化が必要です。自動更新の機能が付いている機器もあるので、その場合有効に設定しておきましょう。

ファームウェアをアップデートしないと、既知のセキュリティホールは塞げません。サポート期間が終了し、ファームウェアのパッチ提供がなくなれば、機器を買い替えたほうがよいでしょう。

各種フィルタリング・ブロック機能を活用する

セキュリティ機能が充実している機器では、指定したアプリケーションの利用を制限するブロック機能も搭載しています。有効化すると、SNSや動画など業務に関係のないアプリケーションは利用できません。クラウドストレージを指定すれば、外部への情報持ち出しも防げるでしょう。

また各種フィルタリング機能も、セキュリティの向上に有効です。例えばMACアドレスフィルタリングを有効化すると、特定の機器のみしか接続させません。

【関連記事:Wi-Fiのアクセスポイントとは?LANの仕組みや機器の機能も一挙解説

ゲストWi-Fi(VLAN)を設定する

SSIDを2つに分けて、片方は社内用、もう片方はゲスト用で提供できる機能があります。2つのネットワークは論理的に分離されているため、ゲストユーザーが社内ネットワークに入ることはできません。

ウィルスの持ち込みも防げます。来客用にWi-Fiを利用させたい場合は、ゲストWi-Fi機能を利用するとよいでしょう。

【関連記事:飲食店にWi-Fiサービス導入!メリットや選定ポイントを徹底解説

「かんたんWi-Fi」で強固なセキュリティと快適な高速通信を両立しよう

イッツコムが提供する「かんたんWi-Fi」の無線アクセスポイントは、各種フィルタリング機能やブロック機能が搭載された、セキュリティの高い製品です。プランはライトプラン・ハイエンドプラン・ハイエンド6プランを用意し、利用する場所の広さや同時接続端末数によって選択できます。

特にハイエンド6プランの無線アクセスポイントは、Wi-Fi6に対応しているため、高速で快適な通信が利用可能です。

年中無休のサポート窓口も設置しているため、IT関連に詳しい担当者がいなくてもご安心ください。機器が故障した場合、訪問修理オプションを利用していただければ、作業員が現地で機器を交換いたします。

お問い合わせはこちら

まとめ

Wi-Fiを利用する際はセキュリティ対策を講じないと、タダ乗りや不正アクセスによる情報漏えいの危険性が高まります。WPA3やAESなどの方式を用いて、通信を第三者に傍受されないよう注意しましょう。

無線アクセスポイントのフィルタリング機能やブロック機能により、さらにセキュリティを強化することがおすすめです。高速で安全なWi-Fi環境を構築するのであれば、イッツコムの「かんたんWi-Fi」をぜひご検討ください。

お問い合わせはこちら

おすすめ記事