社内LANのセキュリティ対策とは?リスクや無線LANの対策を徹底解説
目次
ビジネスのデジタル化やサイバー攻撃の多様化・巧妙化により、セキュリティ事故の件数や被害額は増加傾向にあります。毎日のようにセキュリティ事故のニュースが飛び交う中、社内LANのセキュリティリスクや対策について知りたい方もいるのではないでしょうか。
Wi-Fi機器やWi-Fi規格と暗号化プロトコルの関係、想定されるサイバー攻撃と適切なセキュリティ対策を知ることで、導入すべきソリューションを明確化できます。クリティカルなセキュリティ対策により、セキュリティ事故の被害から大切な情報資産を守りましょう。
そこでこの記事では、社内LANのセキュリティリスクや社内LAN全般・無線LAN(Wi-Fi)のセキュリティ対策について紹介します。
社内LANのセキュリティ基礎知識
社内LANは有線LANまたは無線LANで構築されますが、LANケーブルで有線接続する有線LANよりも、電波で無線接続する無線LANのほうがハイリスクです。
セキュリティ対策をするには、Wi-FiルーターとWi-Fiアクセスポイントの違いや、Wi-Fi規格と暗号化プロトコルの関係を知ることも求められます。まずは社内LANのセキュリティ基礎知識を見ていきましょう。
有線LANと無線LAN
「LAN(Local Area Network)」とは、オフィス内や工場内といった限られた範囲内で、PCやネットワーク機器などを接続して構築されるネットワークです。オフィス内で構築される「社内LAN」は、「有線LAN」または「無線LAN」で構築されます。
有線LANはLANケーブルによる有線接続で構築されるLANで、無線LANはWi-Fi規格の電波による無線接続で構築されるLANです。有線LANはデバイスにLANポートがなければ構築できず、無線LANはWi-Fi対応のスマホやタブレットでも構築できます。
無線LANは便利だが有線LANよりハイリスク
有線LANはLANケーブルの取り回しが煩雑で、LANポートのないスマホやタブレットでは構築できないこともネックです。フリーアドレスの導入やモバイルデバイスの業務利用が活発化する昨今、Wi-Fi(無線LAN)環境を構築する企業が一般化しています。
無線LANは便利ですが、悪意ある第三者にWi-Fiの電波を傍受されたり、不正な無線接続によりWi-Fi機器へ侵入されたりすることが懸念点です。有線LANよりもセキュリティリスクは高いため、適切なセキュリティ対策が求められます。
Wi-FiルーターとWi-Fiアクセスポイント
「Wi-Fiルーター」はルーター機能とWi-Fiアクセスポイント機能が一体型の通信機器で、個人利用を想定した「家庭用Wi-Fiルーター」とビジネスユースを想定した「法人用Wi-Fiルーター」に大別されます。
「Wi-Fiアクセスポイント」はWi-Fiアクセスポイント機能に特化し、ルーターとLANケーブルで接続してWi-Fiの基地局を増設できる通信機器です。
社内LANのセキュリティレベルを高めるなら、セキュリティの機能・性能に優れた法人用Wi-FiルーターかWi-Fiアクセスポイントを導入することが求められます。
Wi-Fi規格と暗号化プロトコル
Wi-Fiは電波でやり取りするデータを暗号化するためのプロトコル(通信規約)が定められており、Wi-Fi機器で使用する暗号化プロトコルを設定できます。最新かつ最も安全な暗号化プロトコルは「WPA3」で、より古く現在主流の「WPA2」はセキュリティレベルで劣り、さらに古く危険な「WPA」や「WEP」はほぼ使われていません。
Wi-Fi自体の規格もバージョンアップを続けており、最新のWi-Fi規格「Wi-Fi6」はWPA3に標準対応しています。
社内LANの主なセキュリティリスク
「社内LANは安全」という認識は危険です。社会やビジネスのデジタル化によりサイバー攻撃は多様化・巧妙化しており、またセキュリティ事故による被害は拡大し続けています。ここでは、社内LANの主なセキュリティリスクを見ていきましょう。
情報漏えい
情報漏えいは社内LANのセキュリティリスクの代表格です。セキュリティ対策をしていないWi-Fi機器が不正アクセスされたり、ネットワーク経由でウイルスやスパイウェアに感染したりすると、顧客情報の漏えいにより信用失墜やサービス停止を招くケースがあります。
暗号化されていないWi-Fiの電波を傍受されたり、セキュリティレベルの低い暗号化が突破されたりするのも、情報漏えいの原因のひとつです。
情報改ざん
情報が改ざんされるのも社内LANのセキュリティリスクに挙げられます。具体的には、不正アクセスによりPC・ファイルサーバー内のデータやWebサイトの内容が、書き換えられたり削除されたりすることです。これにより業務の混乱を招いたり、攻撃者に情報操作されたりします。
なりすまし
「なりすまし」も社内LANのセキュリティリスクのひとつです。例えば、上司や取引先を装ったメールで入金を要求するビジネスメール詐欺の被害が増えています。ウイルス感染や不正アクセスにより社員のID・パスワードが盗み出され、基幹システムへ侵入されていることを気付けない場合もあります。
サービス妨害
「DoS攻撃」によるサービス妨害も社内LANのセキュリティリスクのひとつです。DoS攻撃とは、ネットワークを通じて大量のデータを送り付け、特定サービスのシステムを稼働できない状態に陥らせる攻撃手法を指します。サービス用のサーバーを自社運用していると、DoS攻撃によりサービスが一時停止に追い込まれるケースも珍しくありません。
踏み台
社内LANのセキュリティリスクは自社だけに影響するものではありません。自社のコンピュータがウイルスなどで乗っ取られ、サイバー攻撃の「踏み台」として使われる攻撃手法があります。
これにより自社のコンピュータリソースがウイルスの感染源となったり、DDoS攻撃(複数コンピュータによるDoS攻撃)に加担させられたりし、パートナー企業などが被害を受けるケースもあるでしょう。
社内LANに必須のセキュリティ対策4選
社内LANのセキュリティ対策として必須なのは、アンチウイルスソフトの導入やセキュリティソリューションの導入です。サイバー攻撃の多様化・巧妙化やビジネスのデジタル化に伴い、クラウドストレージの導入やセキュリティポリシーの策定・順守の重要性も増しています。
アンチウイルスソフトの導入
社内LANのセキュリティ対策として最も一般的かつ必須なのは、アンチウイルスソフトを導入することです。信頼できるベンダーが提供するアンチウイルスソフトを導入し、ソフトや定義ファイルを最新バージョンに保つことで、さまざまなサイバー攻撃の被害を防止できます。
セキュリティソリューションの導入
アンチウイルスソフトは基本的に「ダウンロードされる/されたファイルの検証」をするソフトなので、これだけでは企業のセキュリティ対策としては不十分です。ファイアウォールやメール誤送信対策ソフトなど、社内LANの情報の出入りを監視・制御できるセキュリティソリューションの導入も求められます。
クラウドストレージの導入
情報漏えいの被害を防止するには、社内LAN内に保存する情報を最小化することも大切です。そこでクラウドストレージを導入し、情報資産を安全なクラウド上で保存・管理することが効果的です。ファイルサーバーを使わない、つまりファイル共有サービスを自社運用しないことで、DoS攻撃対策になることもメリットです。
セキュリティポリシーの策定・順守
セキュリティ事故のトリガーとなるのは、多くの場合ヒューマンエラーです。セキュリティ意識やITリテラシーの不足した社員が、攻撃者の誘導に引っかかったり、単純なミスにより情報漏えいを起こしたりするケースも見受けられます。
そこでセキュリティポリシーの策定・順守が必須です。セキュリティソフトの取り扱いや情報やデバイスの持ち出し・共有に関する規定を定め、適切なセキュリティ教育を実施しましょう。
無線LAN(Wi-Fi)のセキュリティ対策5選
社内LANを無線LAN(Wi-Fi)で構築するケースが増えていますが、無線LAN環境のセキュリティ対策として必須なのは以下5点です。
・Wi-Fi機器の管理パスワードを変更
・暗号化プロトコルの設定
・ファームウェアのアップデート
・デバイスやユーザーによる認証
・業務用Wi-Fiと来客用Wi-Fiの分離
ここでは、それぞれのセキュリティ対策の必要性やポイントを見ていきましょう。
Wi-Fi機器の管理パスワードを変更
不正アクセス対策のために、Wi-Fi機器の管理パスワードを変更することは大切です。Wi-FiルーターやWi-Fiアクセスポイントの管理パスワードは、工場出荷時の状態では単純な文字列が設定されているか、未設定となっています。
この状態だと攻撃者は簡単にWi-Fi機器を乗っ取れるため、取扱説明書に記載の方法で管理画面にアクセスし、類推できない複雑な(あるいは無意味な)管理パスワードを設定しましょう。
暗号化プロトコルの設定
Wi-Fi機器には安全性の高い暗号化プロトコルを設定することが重要です。デバイスの対応状況により最新のWPA3が利用できない場合、WPA3/WPA2の混合モードまたはWPA2を設定しましょう。
WPA2の場合、暗号化方式は「TKIP」より安全な「AES」を選ぶことが重要です。WPA3はAESに標準対応します。
・TKIP:一定時間ごとに暗号鍵を自動変更する
・AES:通信中でも自動的に暗号鍵を変更し続ける
ファームウェアのアップデート
サイバー攻撃が日々巧妙化を続ける中、攻撃者とWi-Fi機器のベンダーとの攻防は「いたちごっこ」の様相を呈しています。露呈した脆弱性はファームウェアのアップデートにより改善されるため、取扱説明書に記載の方法で最新バージョンに保ちましょう。なお、Wi-Fi機器によってはファームウェア自動アップデート機能を搭載しています。
デバイスやユーザーによる認証
Wi-Fi機器はPSK(Pre-Shared Key/事前共有鍵)と呼ばれるパスフレーズによる認証が一般的です。これはWPA2まで主流だった認証方式ですが、パスフレーズを知っていれば誰でもWi-Fiネットワークにアクセスできてしまうため、攻撃者による「なりすまし」の危険があります。
WPA3を利用できない場合、MACアドレスによるフィルタリングや二要素認証など、デバイスやユーザーを個別に認証する方式と組み合わせることが重要です。
業務用Wi-Fiと来客用Wi-Fiの分離
法人用Wi-FiルーターやWi-Fiアクセスポイントは、ゲストWi-Fi機能(ゲストポート機能)によって、業務用と来客用のWi-Fiネットワークを分離できます。ゲストWi-Fiはインターネット接続だけに利用できるネットワークなので、社内LANに接続されたデバイスへの不正アクセスを防げるのがメリットです。
ゲストWi-Fiには利用制限時間やパスワードを設定できるため、安全なフリーWi-Fiの提供にも役立ちます。
社内LANのセキュリティ強化ならイッツコム!
社内LANのセキュリティ強化には、最新のWi-Fi規格「Wi-Fi6」とゲストWi-Fi機能に対応したWi-Fi機器の導入や、高セキュアなクラウドストレージによる情報管理が求められます。イッツコムなら「かんたんWi-Fi」と「Box」により、スマートに社内LANのセキュリティ強化が可能です。
Wi-Fiのセキュリティ強化なら「かんたんWi-Fi」
社内LANのセキュリティはWi-Fi機器が弱点となりやすいため、Wi-Fi機器のセキュリティ対策が求められます。
そこで導入したいのが、安全なWi-Fiアクセスポイント(AP)を簡単に増設できる「かんたんWi-Fi」です。かんたんWi-Fiは届いたAPに電源ケーブルとLANケーブルを接続するだけで利用でき、社内LANの大幅な設定変更不要で導入できます。
「ハイエンド6」プランなら、WPA3に標準対応した最新Wi-Fi規格「Wi-Fi6」で高速かつ安全にWi-Fi接続でき、端末認証やゲストWi-Fi機能も利用できることが利点です。同時接続台数は1AP当たり最大100台で、Wi-Fi環境の整備とセキュリティ強化を両立させられます。
安全なクラウド上で情報管理するなら「Box」
社内LANのセキュリティ対策にはクラウドストレージを導入することも重要です。サーバー資産を自社で抱えずに済み、データを安全なクラウド上で保存・管理することで、社内LANがサイバー攻撃に遭っても被害を抑えられます。
そこで導入したいのが、容量無制限かつ世界最高峰のセキュリティレベルを誇るクラウドストレージ「Box」です。Boxはファイルだけでなくタスクやプロジェクトまで一元管理できる上、社外のコラボレータの安全な招待にも対応します。
ファイルサーバー以上に詳細なアクセス権限を設定でき、70種類以上のログを監視できるため、情報漏えいリスクを最小化できるのも利点です。
まとめ
社内LANは無線LANで構築するケースが増えており、最新の暗号化プロトコルWPA3に標準対応したWi-Fi規格「Wi-Fi6」によるWi-Fi接続や、高セキュアなクラウドストレージによる情報管理が必須です。
イッツコムなら「かんたんWi-Fi」と「Box」により社内LANのセキュリティを大幅強化でき、巧妙化するサイバー攻撃から情報資産を守れます。社内LANのセキュリティ対策をお求めなら、複数サービスの組み合わせで安全な社内LAN環境を一括整備できるイッツコムにご相談ください。