Wi-Fiセキュリティ規格の種類と暗号化・認証方式の関係を徹底解説
目次
Wi-Fiセキュリティ規格には複数の種類があり、それぞれ暗号化方式や認証方式が異なります。結論として、現時点で最もセキュリティ性の高い規格はWPA3です。WEPは使うべきではなく、WPAやWPA2よりもWPA3を利用することが推奨されます。
この記事では、Wi-Fiセキュリティ規格と暗号化方式・認証方式の関係や、なぜWPA3を採用すべきかを詳細に解説します。Wi-Fi親機の必須設定やセキュリティ機能の種類・使い方についても理解を深め、より安全・快適なWi-Fi活用を目指しましょう。
企業がWi-Fiセキュリティ対策を強化する必要性
Wi-Fi(無線LAN)は、親機となるWi-FiルーターやAP(アクセスポイント専用機)と、子機となるスマホやPCなどが、特定の周波数帯の電波を通じてデータをやりとりする技術です。セキュリティ機能は多様ですが、対策を怠ると企業には次のようなリスクが生じます。
- Wi-Fi通信は電波を傍受すれば盗聴可能なため、脆弱な暗号化方式では平文の解読やパスワードの逆算といったリスクがある
- 電波が届く範囲なら誰でも接続できる可能性があり、許可されていない第三者による不正侵入の危険がある
- 一度不正侵入を許すと、マルウェア感染や情報窃取、設定の不正変更などに発展する恐れがある
- 管理者権限を乗っ取られると、自社のIT資産がサイバー攻撃の踏み台として悪用され、被害がサプライチェーン全体に広がる恐れがある
これらのリスクを最小限に抑えるには、Wi-Fi通信の暗号化や認証方式を正しく理解し、安全なセキュリティ規格の採用と機器運用の改善につなげることが重要です。
【関連記事:アクセスポイントとは?LANの仕組みや機器の機能も一挙解説】
Wi-Fiセキュリティ規格4種類の主な仕様
Wi-Fiセキュリティ規格は、1997年に最初の試みとして登場した「WEP」以降、WPA・WPA2・WPA3と段階的に強化されてきました。各規格は、暗号化方式や暗号鍵の長さ(鍵長)、ユーザーや端末の認証方式が異なります。WPA以降は、個人向けのパーソナルモードと、企業向けのエンタープライズモードを選択できるようになった点も特徴です。
以下に、各規格の主な仕様の違いをまとめました。
| 策定年 | 暗号化方式 | 暗号鍵の長さ | 通信モード | 認証方式 | |
|---|---|---|---|---|---|
| WEP | 1997年 | RC4 | 40ビット(ランダムデータ24ビットを加え64ビット) または104ビット(ランダムデータ24ビットを加え128ビット) の静的キー | - (区分けなし) | Open (認証を行わない) または共通鍵認証 |
| WPA | 2002年 | RC4ベースのTKIP | 128ビットの動的キー、48ビットの初期化ベクトルを併用 | WPA Personal | PSK(事前共有鍵)方式 |
| WPA Enterprise | IEEE 802.1X標準に基づく認証サーバ方式 | ||||
| WPA2 | 2004年 | AESベースのCCMP (AES-CCMP) | 最長256ビット (AES256) | WPA2 Personal | PSK(事前共有鍵)方式 |
| WPA2 Enterprise | IEEE 802.1X標準に基づく認証サーバ方式 | ||||
| WPA3 | 2018年 | AESベースのCCMP またはGCMP (AES-GCMP) | 最長256ビット (GCMP256) | WPA3 Personal | SAE(同等性同時認証)方式 |
| WPA3 Enterprise | IEEE 802.1X標準に基づく認証サーバ方式 (オプションでCNSAを採用した192ビットモード) |
Wi-Fiセキュリティの暗号化プロトコルは主に3種類
Wi-Fiセキュリティには暗号化と認証が必須ですが、公衆Wi-Fiはこれらのセキュリティ対策を講じていないケースもあります。Wi-Fiを利用するなら暗号化・認証の仕組みやセキュリティレベルを理解しておきましょう。ここではWi-Fi用の暗号化プロトコルとしてWEP・TKIP・CCMPの3種類を解説し、認証については後述します。
セキュリティリスクが高い「WEP(RC4)」
1997年に登場した「WEP(Wired Equivalent Privacy)」はWi-Fi接続の黎明期に用いられた暗号化方式です。暗号化アルゴリズムには脆弱な「RC4」を用います。Wi-Fiルーターとデバイスで同じ「WEPキー」を設定する必要があり、Wi-Fi接続中にWEPキーは変更されません。固定的な暗号鍵を用いるため、暗号鍵の解読が容易です。
有線LAN接続と同等のセキュリティレベルを期待された暗号化方式でしたが、ある程度技術のあるハッカーなら1分もかけずに暗号鍵を解読できるほど脆弱で、現在はほぼ採用されません。セキュリティレベルは低いので、古い機器でWEPを利用しているならセキュアな暗号化方式に切り替えましょう。
WEPより高セキュアな「TKIP(RC4)」
「TKIP(Temporal Key Integrity Protocol)」はWEPを改良してセキュリティレベルを高めた、Wi-Fi接続用の暗号化プロトコルです。
一定の送受信回数ごとに「TK(Temporal Key)」を切り替え、デバイス固有の識別番号である「MACアドレス」も加えることで、WEPよりもセキュアなWi-Fi通信ができます。暗号鍵は時間経過によって切り替わる上、デバイスごとに異なるので、通信の傍受は困難です。
ただし、暗号化アルゴリズムにはWEPと同じRC4を用いるため、セキュリティレベルには不安が残ります。WEPよりはセキュアですが、現在はTKIP以上に高セキュアな暗号化プロトコルを利用することが一般的で、TKIPの利用は推奨されません。
最も高セキュアな「CCMP(AES)」
「CCMP(Counter mode with CBC-MAC Protocol)」はTKIP以上のセキュリティレベルを求めて策定された、Wi-Fi接続用の暗号化プロトコルです。暗号化アルゴリズムはアメリカ連邦政府標準の暗号化方式「AES(Advanced Encryption Standard)」をベースにしており、現在では最高度のセキュリティレベルを誇ります。
AESは無線LAN上に流れるデータをブロック(一定の長さ)単位に区切って暗号化する「ブロック暗号」の一種です。RC4は1ビット単位で暗号化する「ストリーム暗号」の一種で、受信データを即時に復号できて応答性に優れる反面、セキュリティレベルは高くありません。
AESベースのCCMPは第三者による解読が理論的に不可能とされるほどセキュアで、セキュリティレベルの高さを求めるならCCMPを選択するのがマストです。なお、WPA3のエンタープライズモードの場合、より強力なAES-GCMP 256ビット暗号も利用できます。
Wi-Fiセキュリティ規格の認証方式は主に3種類
Wi-Fiセキュリティ規格や通信モードによって、採用される認証方式は異なります。パーソナルモードでは、WPAやWPA2がPSK方式を用いるのに対し、WPA3はより高セキュアなSAE方式を採用しています。エンタープライズモードの場合は、WPA・WPA2・WPA3のいずれもRADIUSサーバなどと連携する認証サーバ方式を採用しています。
PSK(WPAやWPA2のパーソナルモード)
Wi-Fiセキュリティ規格のWPAやWPA2では、パーソナルモードにおいてPSK(Pre-Shared Key/事前共有鍵)方式を使用しています。Wi-Fiの親機と子機に同じパスワードを設定し、その一致を確認して接続認証を行う方式です。
Wi-FiルーターやAPに接続する際、スマホやPCでWi-Fiネットワーク名(SSID)とパスワード(暗号化キー/WPAキー)を入力しますが、このときにPSK認証が実行されます。接続後は、パスフレーズから一定の計算手順によりPMK(Pairwise Master Key)を算出し、暗号鍵の生成などに利用します。
Wi-Fi子機のユーザーにとって利便性の高い認証方式ですが、全てのユーザーが共通のID・パスワードを用いてWi-Fi親機に接続するため、企業などの大規模ネットワークではセキュリティリスクが懸念されます。
SAE(WPA3のパーソナルモード)
SAE(Simultaneous Authentication of Equals)は、WPA3のパーソナルモードで採用された認証方式です。ユーザーの利便性を損なわず、従来のPSKよりも高度なセキュリティ機能を備えている点が特徴です。
ユーザーはPSKと同様にSSIDやパスワードを設定して親機との接続を試みますが、SAEでは事前共有したパスワードに加えてMACアドレスや乱数も用いて計算し、親機・子機の双方で導き出した同じ値を共通鍵とします。この共通鍵を基に暗号鍵を生成する仕組みで、次のようなセキュリティ上の利点があります。
| SAEの特徴 | セキュリティ対策効果 |
|---|---|
| 鍵交換の過程でパスワード自体やそのハッシュ値・乱数は送受信されない | ・仮にネットワーク盗聴があっても、鍵算出の元になったパスワードは逆算が困難 ・単純なパスワードを設定していても割り出されにくい |
| パスワードなどの設定を変えなくても共通鍵は毎回異なる値となる | 仮に秘密鍵などが漏えいしても、過去の暗号文(送受信されたデータ)を解読できない |
| 鍵交換の過程で両者のMACアドレスを用いて認証も同時に行う | 攻撃者による割り込み・なりすましが困難で、「KRACK」などの中間者攻撃を対策できる |
認証サーバ方式(WPA・WPA2・WPA3のエンタープライズモード)
WPA以降のWi-Fiセキュリティ規格では、エンタープライズモードの認証方式としてIEEE 802.1X標準に基づく認証サーバ方式を採用しています。Wi-FiルーターやAPではなく、IEEE 802.1Xに準拠した認証サーバ(RADIUSサーバなど)が、デバイス固有の認証情報に基づいて接続可否を判断する仕組みです。
認証サーバ方式では、ID・パスワードがデバイスごとに異なり、暗号鍵の生成も個別に行われるため、大規模ネットワークでもセキュアに運用できます。具体的な認証の流れは次の通りです。
1.社内ネットワーク内に認証サーバ(RADIUSサーバなど)を用意し、Wi-Fi利用者のID・パスワードをあらかじめ登録しておく
2.利用者から接続要求があると、Wi-Fi親機は認証を行わず、受信した認証情報を認証サーバに問い合わせる(この間、認証情報の送受信以外の通信は拒否)
3.認証サーバが正規の利用者と確認できればWi-Fi通信を許可する(確認できない場合はポートを閉じて通信を遮断)
Wi-Fiセキュリティ規格3種類(WPA・WPA2・WPA3)の詳細比較
Wi-Fiセキュリティ規格はWEPに始まり、WPA・WPA2・WPA3へと改訂され、暗号化方式・認証方式を段階的に強化してきた経緯があります。パーソナルモード・エンタープライズモードともに、WPA3が最も高セキュアな規格です。
ここでは、WPA以降のWi-Fiセキュリティ規格3種の詳細を解説します。
WEPの代替規格として生まれた「WPA」
1997年のWi-Fi誕生に合わせてWi-Fi用の標準セキュリティ技術としてWEPが策定されましたが、WEPには多数の脆弱性が発見され、WEPに代わるセキュアな暗号化方式が強く求められました。
国際的な技術標準化機関「IEEE(Institute of Electrical and Electronic Engineers)」はWi-Fi用セキュリティ技術の国際標準規格「IEEE 802.11i」の策定を進めていましたが、そのドラフト版(草案)を元にして2002年に「WECA(現Wi-Fiアライアンス)」によって策定された技術規格が「WPA(Wi-Fi Protected Access)」です。
WPAにはパーソナルモードとエンタープライズモードという2種類のモードが用意され、家庭や小規模オフィス向けのパーソナルモード「WPA Personal(WPA-PSK)」では、「PSK(Pre-Shared Key/事前共有鍵)」と呼ばれるパスフレーズを入力して認証します。
暗号化方式はWPA策定当初にはRC4ベースのTKIPのみに対応していましたが、その後AESベースのCCMPにも対応しており、WPA-PSK(AES)のほうが高セキュアです。
IEEE 802.11iの完全版に準拠した「WPA2」
2004年にはIEEEによってIEEE 802.11iが策定され、同年に業界団体「Wi-Fiアライアンス」によって策定された技術規格が「WPA2(Wi-Fi Protected Access 2)」です。
WPAの後継規格に当たり、WPAはIEEE 802.11iのドラフト版を元に策定されたのに対し、WPA2は完成版を元に策定されました。仕様はWPAと共通する部分が多く、パーソナルモードの「WPA2 Personal(WPA2-PSK)」と、大規模事業者向けのエンタープライズモード「WPA2 Enterprise」を利用できます。
暗号化方式は標準でAESベースのCCMPに対応し、旧版のWPAで標準であったTKIPによる互換モードも利用可能です。WPA2-PSK(AES)はWPA-PSK(AES)と同程度に高セキュアですが、いくつかの脆弱性も発見されていることに注意を要します。
最新のWi-Fiセキュリティ規格「WPA3」
2004年以降は長らくWPA2がWi-Fiセキュリティにおける標準規格でしたが、Wi-Fiアライアンスは2018年にWPA2の後継規格「WPA3(Wi-Fi Protected Access 3)」を発表しました。これが現在の最新規格です。
パーソナルモードにおける認証方式はWPA・WPA2のPSK方式から「SAE(Simultaneous Authentication of Equals)」に改められました。「WPA3-Personal(WPA3-SAE)」はユーザーが入力した任意のパスワードから解読困難な楕円曲線暗号を生成し、PSK方式よりもセキュアな認証が可能です。
WPA3-SAEはAESベースのCCMPに対応し、エンタープライズモードの「WPA3-Enterprise(WPA3-EAP)」は新しい暗号化アルゴリズム「CNSA(Commercial National Security Algorithm)」を採用しています。
現状では最も高セキュアな認証方式で、2019年以降は対応機器も増えていますが、複数の脆弱性も発見されていることには注意が必要です。
企業が実施すべきWi-Fiセキュリティ対策5選
Wi-Fiセキュリティ対策の基本は、Wi-Fi親機についてファームウェアのアップデートや管理用パスワードの定期変更を行うことです。Wi-Fi通信時にはWPA3を利用しましょう。加えて、SSIDステルス・ANY接続拒否、マルチSSID・VLAN機能などを活用し、多角的なセキュリティ対策を実施することが推奨されます。
ファームウェアを常に最新の状態に保つ(サポート切れなら買い換え検討)
Wi-FiルーターやAPなどのハードウェアに組み込まれているソフトウェアは、ファームウェアと呼ばれます。一般的にファームウェアに脆弱性が発見されると、メーカーのWebサイトで修正プログラムが公開されます。
ファームウェアを更新しないままWi-Fi親機を運用すると、脆弱性が放置され続ける恐れがあります。既知の脆弱性を悪用した不正アクセスを防ぐには、管理者がファームウェアを適宜ダウンロードし、最新の状態に保つことが必要です。自動更新機能がある機種の場合は、必ず設定しておきましょう。
また、機器が古い場合にはメーカーのサポートが終了していることもあります。最新のファームウェアが提供されない機器はセキュリティリスクが高くなるため、早めの買い換えを検討しましょう。
管理用パスワードの変更と設定内容の定期的な確認
Wi-FiルーターやAPの管理用パスワードを変更することは、基本的なセキュリティ対策の一つです。購入時の初期管理用パスワードはWeb上で公開されている場合もあり、そのまま運用すると不正アクセスに対して無防備になります。機器本体が不正アクセスされると管理者権限を乗っ取られ、セキュリティ設定の不正変更や、機器を踏み台としたサイバー犯罪に悪用される恐れがあります。
また、機器の設定内容を定期的に確認することも重要です。身に覚えのない設定変更があれば、すでにサイバー攻撃者の侵入を許している可能性があります。
管理用パスワードや設定内容については、次のような対策を講じましょう。
- 初期管理用パスワードのままなら、大文字・小文字・数字・記号を組み合わせた10桁以上のパスワードに変更する
- 無意味かつ複雑なパスワードを設定し、定期的に変更する
- 設定内容を確認した際に不審な変更があれば、機器を初期化し、ファームウェアを最新の状態に更新した上で、管理用パスワードをより複雑なものに変更する
Wi-Fiセキュリティ規格はWPA3(Wi-Fi6以降)を利用する
WEPは暗号が容易に解読されてしまい、WPAやWPA2もサイバー攻撃に対して脆弱です。Wi-Fiセキュリティ規格はWPA3を利用しましょう。
なお「Wi-Fi6」以降のWi-Fi規格では、WPA3による暗号化・認証が必須となっています。Wi-Fi子機がWi-Fi6対応でも親機が非対応の場合、Wi-Fi5などで接続されてしまいます。Wi-FiルーターやAPは、Wi-Fi6以降に対応した機種を運用しましょう。
またWi-Fi6は、OFDMA(直交周波数分割多元接続)やOBSS(Overlapping Basic Service Sets)といった技術の採用により、多台数接続時の通信速度にも優れます。ユーザーの利便性という観点でも、Wi-Fi6以降に対応する機種を選ぶことが重要です。
SSIDステルスとANY接続拒否により接続要求をするデバイスを制限
Wi-Fi親機が「SSIDステルス」や「ANY接続拒否」に対応している場合、これらを設定することでセキュリティ対策効果を高められます。
| 機能名 | 内容 | 必要性 |
|---|---|---|
| SSIDステルス | SSIDを含むビーコン信号の発信を停止し、SSIDを知らない端末がWi-Fiネットワークを探索しても一覧に表示させなくする | ビーコン信号は一定時間ごとに発信されるため、悪意ある第三者にWi-Fiネットワークの存在や正規の接続先を知らせる恐れがある |
| ANY接続拒否 | SSIDを指定することなく周囲のWi-Fiネットワークに自動接続するANY接続を、Wi-Fi親機側で拒否設定にする | SSIDステルスだけでは、悪意ある第三者がANY接続設定の端末から自動接続するリスクを排除できない |
SSIDの探索やANY接続は、スムーズにWi-Fiへ接続するための標準的な機能です。一方で、SSIDを秘匿し、さらに自動接続を拒否することで、接続要求をあらかじめSSIDを知っているユーザーのみに制限できます。SSIDステルスとANY接続拒否を併用すれば、パブリックネットワークとしての利便性は下がるものの、「ただ乗り」や不正アクセスに対して一定の抑止効果を期待できます。
マルチSSIDとVLANで接続可能なネットワークを分離
Wi-Fi親機の機種によっては、マルチSSID機能で複数のSSIDを設定したり、VLAN(Virtual LAN)機能でSSIDごとにアクセス可能なネットワークを制限したりできます。これらを併用すれば、「業務用SSIDに接続したデバイスは社内ネットワーク内のサーバやPCにアクセスできる」「ゲスト用SSIDに接続したデバイスはインターネット接続のみ許可する」といった構成が可能です。
このようにネットワークを分離しておけば、オープンなWi-Fiネットワークを悪用された場合でも社内ネットワークへの侵入を防げます。ゲスト用には探索可能なフリーWi-Fiネットワークを用意し、従業員用のWi-Fiネットワークにはステルス・ANY接続拒否を適用するなど、目的に応じた柔軟なセキュリティ設定が行える点もメリットです。
イッツコムでWi-Fiセキュリティとモバイルセキュリティを一括強化
ネットワークセキュリティのリスクは多様化しているため、Wi-Fiエリア内外の対策強化が必須です。イッツコムなら、「かんたんWi-Fi」でWPA3対応の高速Wi-Fi通信環境を整備でき、「モバイル閉域接続」でテレワーカーのモバイル活用もセキュアにできます。
「かんたんWi-Fi」でWPA3対応の高速Wi-Fi通信環境を整備
Wi-Fiのセキュリティ対策として、WPA3を利用した暗号化・認証は必須です。オフィスで使用するWi-Fi親機の古さや配置、同時接続台数などに課題がある場合は、WPA3に対応するAPを増設することが最も有効な対策になります。
イッツコムの「かんたんWi-Fi」なら、高性能APを必要な台数だけ、ケーブル接続するだけの簡単設定で導入できます。「ハイエンド6」プランのAPはWi-Fi6対応のため、WPA3を標準利用したい環境に最適です。1AP当たり最大100台まで同時接続でき、Wi-Fi区間の最大通信速度は2.4Gbps、さらに電波出力自動調整機能も備えており、Wi-Fi通信環境の改善にも大いに役立ちます。
また、マルチSSID・VLAN機能やRADIUSサーバとの認証連携など、セキュリティ機能も充実しており、組織のニーズに合わせて高セキュアかつ利便性の高い運用環境を構築できます。
「モバイル閉域接続」でテレワーカーのモバイル活用もセキュアに
イッツコムの「モバイル閉域接続」は、VPNの仕組みを利用したセキュアな通信サービスです。PCやスマホに専用SIMを挿入するだけで導入でき、通信キャリアのモバイル回線網とイッツコムネットワーク内の閉域網で接続します。
エリア内のどこからでも、インターネットを経由せず社内ネットワークに接続できるので、テレワークの大幅なセキュリティ強化が可能です。さらに、PCやスマホを業務利用する際にWi-Fiを使う必要もありません。モバイル閉域接続の導入によって、主に以下のことが実現できます。
- 社外のデバイスからも社内セキュリティポリシーを維持して通信できる
- 場所や時間を選ばない働き方ができる
- ペーパーレスで営業に行ける
- 専用SIMを挿入するだけで、スマホ・ドライブレコーダー・監視カメラの動画も簡単に共有できる
まとめ
Wi-Fiセキュリティ規格は、WEPに始まりWPA・WPA2・WPA3へと改訂され、暗号化方式・認証方式を洗練させてきた経緯があります。WPA以降の規格のうち、パーソナルモード・エンタープライズモードともに、WPA3が最も高セキュアです。
Wi-Fi6以降はWPA3に標準対応しますが、親機がWi-Fi6非対応だとユーザーはWPA3の恩恵を享受できません。企業が運用するWi-Fi親機は、Wi-Fi6以降に対応し、かつマルチSSIDやVLANなどのセキュリティ機能も搭載していることが求められます。Wi-Fi接続ができないエリアについては、閉域網接続を採用するなどの対策も重要です。
Wi-Fiセキュリティの強化をお考えなら、オフィスレイアウトなどに応じた最適なサービスを提案できるイッツコムにご相談ください。
