【テレワーク時代の新常識】Wi-Fiセキュリティの種類とセキュリティ高度を徹底解説
目次
テレワークとWi-Fiは相性の良い組み合わせと思われるかもしれませんが、Wi-Fi接続中はデータを電波として拡散するため、常に情報漏えいや不正アクセスのリスクがあります。テレワーク導入でモバイル端末の利用が増える中、Wi-Fiセキュリティが不安な方もいるのではないでしょうか。
Wi-Fiセキュリティのリスクや暗号化・認証の仕組み、「Wi-Fiを使わないセキュアなモバイルアクセス」という選択肢を知ることで、テレワークの悩みを解決するセキュリティ対策が可能です。そこでこの記事では、Wi-Fiセキュリティの種類や仕組み、Wi-Fiに依存しないソリューションについてご紹介します。
テレワーク時代に潜むWi-Fiセキュリティのリスク
新型コロナウイルス感染症の影響もあってテレワークが一般化しています。社員が業務利用するデバイスには社内情報が蓄積されますが、オフィス機能の分散によってセキュリティレベルは統一・管理しにくい上、セキュリティ対策の貧弱なテレワーカーを狙ったサイバー攻撃も増えている状況です。
ICT(情報通信技術)の活用方法が拡大するのに伴い、Wi-Fiセキュリティを含むサイバーセキュリティ対策の重要性が増しています。まずはWi-Fiセキュリティの主なリスクを見ていきましょう。
情報の漏えいや改ざんリスク
Wi-FiはPC・スマホといったデバイス(クライアント)とWi-Fiルーター(無線アクセスポイント)との間で、電波によるデータ通信をする無線通信技術です。LANケーブルによる有線LAN接続であればクライアント・ルーター間の通信は傍受されませんが、Wi-Fi接続には常に通信傍受のリスクがあります。
特に注意したいのは公衆Wi-Fiを利用する場合です。Wi-Fiルーターを提供している人物に悪意があれば、Wi-Fiルーターに流れるデータが傍受・改ざんされる恐れもあります。アクセスポイントを指定するということは、データの中継地点を固定化することなので、アクセスポイントの信頼性を判断できるセキュリティリテラシーが必要です。
マルウェア感染のリスク
ウイルス・ランサムウェア・トロイの木馬・キーロガー・バックドアなどの、悪意あるプログラム・ソフトウェアを総称してマルウェアと呼びます。サイバー攻撃はPCやサーバーを狙うという意識があるかもしれませんが、IoT機器の世界的増大によりWi-Fiルーターが攻撃対象になることも増えている状況です。
テレワーカーのデバイスは常にマルウェア感染のリスクにさらされており、感染したデバイスを「踏み台」にして、コアオフィスのサーバーにマルウェアを送り込む手法も増えています。
端末の紛失や盗難リスク
テレワーカーの主なワークプレイスは自宅ですが、ノートパソコンを持ち運んでシェアオフィスやカフェなどで仕事をすることもあります。タブレットやスマホを業務利用するケースもあり、セキュリティリスクは自宅の中だけに留まりません。
特に危険なのはデバイスごと社内情報の紛失・盗難に遭うことです。デバイスのロックが突破されれば、情報漏えいだけでなく、深刻な成りすましの被害に遭う恐れもあります。
不正アクセスのリスク
セキュリティ対策を講じているつもりでも、ネットワーク接続している限りは侵入経路が開かれた状態です。完全にクローズドなネットワークでない限りは、外部ネットワークから不正アクセスの被害に遭う恐れがあります。
Wi-Fiを利用している時点でデータは電波に乗って拡散しており、一般的にその受信方法(傍受方法)が知られていないだけです。さらに、Wi-Fiルーターへ不正アクセスし、Wi-Fiルーターの操作権限を乗っ取る攻撃手法もあります。
Wi-Fiセキュリティリスクを回避する方法とは?
Wi-Fiを利用する以上はデータが電波に乗って拡散しているため、常にセキュリティリスクにさらされています。屋外で公衆Wi-Fiを利用する際は特に危険で、テレワーカーの不注意やセキュリティリテラシー不足による被害も珍しくありません。ここでは、Wi-Fiのセキュリティリスクを回避する4つの方法を解説します。
公衆Wi-Fiは利用しない
これは最も基本的なことですが、公衆Wi-Fiを利用しないことが大切です。公衆Wi-Fiは無料で公開されているものもありますが、運営元の信頼性を判断できない限りは危険と考えましょう。
信頼できる運営元であったとしても、公衆Wi-Fiは不特定多数のユーザーが電波をやり取りする、いわば通信傍受のホットスポットです。これを狙って公衆Wi-Fiの電波が届く範囲内に張り込み、セキュリティリテラシーの貧弱なユーザーから情報窃取する攻撃者も存在します。
自宅で使用するWi-Fiの初期設定のIDとパスワードを変更する
Wi-Fiルーターの初期設定のID・パスワードを変更することも大切です。このID・パスワードはWi-Fiルーターの管理用のもので、Wi-Fi接続する際のセキュリティキーではありません。
管理用の認証情報は工場出荷時に簡易なものが設定されているケースもあり、初期設定のままだと簡単に認証を突破されてしまいます。Wi-Fiルーターを乗っ取られると、これを踏み台にして企業のサーバーを攻撃される恐れがあり、企業関係者であることを調査した上で乗っ取りを狙う攻撃者も珍しくありません。
不要なソフトウェアは使用しない
WindowsやAndroidなどの汎用OSベースのコンピュータは簡単にマルウェア感染します。スマホネイティブ世代やiPhoneユーザーにありがちな間違いですが、Apple製品のセキュリティレベルが例外的に高いだけです。
アプリをダウンロードする際、アプリにマルウェアが仕込まれているケースも多く、Webサイトのクリック誘導や偽メールの添付ファイルも同様です。
ユーザーのセキュリティリテラシーが低ければ、自らマルウェアに感染してしまいます。企業が信頼性を担保したアプリ以外ダウンロードしないこと、安易な詐欺手法に惑わされないことが必要です。
通信の暗号方式に「WEP」を使用しない
Wi-Fiを利用すると、データの送受信が完了するまでWi-Fiルーターとデバイスで電波を拡散させ続けます。Wi-Fiは小電力仕様なので電波はそれほど遠くまでは届きませんが、電波を拡散させる以上はラジオやテレビのように、第三者による受信(傍受)が可能です。
そこでWi-Fiにはデータを保護するための仕組みがあります。具体的には「暗号化」や「認証」によるデータ保護です。この仕組みは1997年にWi-Fiが誕生した当時から規格化されており、最初に登場した規格を「WEP」と呼びます。
WEPに対応しているWi-Fiルーターや電子機器はいまだに存在しますが、WEPには多数の脆弱性(セキュリティホール)があるので使用は推奨されません。Wi-Fiセキュリティの選択肢にWEPが含まれていても、これを選ばずに他の規格を選びましょう。
そもそもWi-Fiセキュリティの「暗号化」って?
暗号化は、元データを一定の計算手順で無意味な文字列に変換することです。あらかじめ送信元と宛先で暗号化の手順を情報共有しておき、送信元がデータを暗号化し、宛先で「復号」することで元データをセキュアに送信します。
暗号文には「暗号鍵」を含ませ、送信元・宛先で同じ暗号鍵を持っておくか、送信元・宛先で異なる暗号鍵のセットを使う仕組みです。暗号化・復号の仕組みはさまざまで、その約束事は「暗号化プロトコル」として標準化されています。
また、暗号化の計算手順は「暗号化アルゴリズム」と呼び、暗号化プロトコルによって採用する暗号化アルゴリズムは異なる仕組みです。暗号化に加えてIDやパスワードによる「認証」のプロセスも含めることで、正しい送信元・宛先による暗号化・復号だと確かめます。
Wi-Fiセキュリティの暗号化プロトコルは主に3種類
Wi-Fiセキュリティには暗号化と認証が必須ですが、公衆Wi-Fiはこれらのセキュリティ対策を講じていないケースもあります。Wi-Fiを利用するなら暗号化・認証の仕組みやセキュリティレベルを理解しておきましょう。ここではWi-Fi用の暗号化プロトコルとしてWEP・TKIP・CCMPの3種類を解説し、認証については後述します。
セキュリティリスクが高い「WEP(RC4)」
1997年に登場した「WEP(Wired Equivalent Privacy)」はWi-Fi接続の黎明期に用いられた暗号化方式です。暗号化アルゴリズムには脆弱な「RC4」を用います。Wi-Fiルーターとデバイスで同じ「WEPキー」を設定する必要があり、Wi-Fi接続中にWEPキーは変更されません。固定的な暗号鍵を用いるため、暗号鍵の解読が容易です。
有線LAN接続と同等のセキュリティレベルを期待された暗号化方式でしたが、ある程度技術のあるハッカーなら1分もかけずに暗号鍵を解読できるほど脆弱で、現在はほぼ採用されません。セキュリティレベルは低いので、古い機器でWEPを利用しているならセキュアな暗号化方式に切り替えましょう。
WEPより高セキュアな「TKIP(RC4)」
「TKIP(Temporal Key Integrity Protocol)」はWEPを改良してセキュリティレベルを高めた、Wi-Fi接続用の暗号化プロトコルです。
一定の送受信回数ごとに「TK(Temporal Key)」を切り替え、デバイス固有の識別番号である「MACアドレス」も加えることで、WEPよりもセキュアなWi-Fi通信ができます。暗号鍵は時間経過によって切り替わる上、デバイスごとに異なるので、通信の傍受は困難です。
ただし、暗号化アルゴリズムにはWEPと同じRC4を用いるため、セキュリティレベルには不安が残ります。WEPよりはセキュアですが、現在はTKIP以上に高セキュアな暗号化プロトコルを利用することが一般的で、TKIPの利用は推奨されません。
最も高セキュアな「CCMP(AES)」
「CCMP(Counter mode with CBC-MAC Protocol)」はTKIP以上のセキュリティレベルを求めて策定された、Wi-Fi接続用の暗号化プロトコルです。暗号化アルゴリズムはアメリカ連邦政府標準の暗号化方式「AES(Advanced Encryption Standard)」をベースにしており、現在では最高度のセキュリティレベルを誇ります。
AESは無線LAN上に流れるデータをブロック(一定の長さ)単位に区切って暗号化する「ブロック暗号」の一種です。RC4は1ビット単位で暗号化する「ストリーム暗号」の一種で、受信データを即時に復号できて応答性に優れる反面、セキュリティレベルは高くありません。
AESベースのCCMPは第三者による解読が理論的に不可能とされるほどセキュアで、セキュリティレベルの高さを求めるならCCMPを選択するのがマストです。
Wi-Fiセキュリティの認証方式は主に3種類
Wi-Fi用の主な暗号化プロトコルはWEP・TKIP・CCMPの3種類ですが、実際にWi-Fiを利用する際は暗号化プロトコルと認証方式を組み合わせます。認証方式は暗号化プロトコルとセットのWEPを除き、WPA・WPA2・WPA3の3種類です。
WEPの代替規格として生まれた「WPA」
1997年のWi-Fi誕生に合わせてWi-Fi用の標準セキュリティ技術としてWEPが策定されましたが、WEPには多数の脆弱性が発見され、WEPに代わるセキュアな暗号化方式が強く求められました。
国際的な技術標準化機関「IEEE(Institute of Electrical and Electronic Engineers)」はWi-Fi用セキュリティ技術の国際標準規格「IEEE 802.11i」の策定を進めていましたが、そのドラフト版(草案)を元にして2002年に「WECA(現Wi-Fiアライアンス)」によって策定された技術規格が「WPA(Wi-Fi Protected Access)」です。
WPAにはパーソナルモードとエンタープライズモードという2種類のモードが用意され、家庭や小規模オフィス向けのパーソナルモード「WPA Personal(WPA-PSK)」では、「PSK(Pre-Shared Key/事前共有鍵)」と呼ばれるパスフレーズを入力して認証します。
暗号化方式はWPA策定当初にはRC4ベースのTKIPのみに対応していましたが、その後AESベースのCCMPにも対応しており、WPA-PSK(AES)のほうが高セキュアです。
IEEE 802.11iの完全版に準拠した「WPA2」
2004年にはIEEEによってIEEE 802.11iが策定され、同年に業界団体「Wi-Fiアライアンス」によって策定された技術規格が「WPA2(Wi-Fi Protected Access 2)」です。
WPAの後継規格に当たり、WPAはIEEE 802.11iのドラフト版を元に策定されたのに対し、WPA2は完成版を元に策定されました。仕様はWPAと共通する部分が多く、パーソナルモードの「WPA2 Personal(WPA2-PSK)」と、大規模事業者向けのエンタープライズモード「WPA2 Enterprise」を利用できます。
暗号化方式は標準でAESベースのCCMPに対応し、旧版のWPAで標準であったTKIPによる互換モードも利用可能です。WPA2-PSA(AES)はWPA-PSK(AES)と同程度に高セキュアですが、いくつかの脆弱性も発見されていることに注意を要します。
最新の認証方式である「WPA3」
2004年以降は長らくWPA2がWi-Fiセキュリティにおける標準規格でしたが、Wi-Fiアライアンスは2018年にWPA2の後継規格「WPA3(Wi-Fi Protected Access 3)」を発表しました。これが現在の最新規格です。
パーソナルモードにおける認証方式はWPA・WPA2のPSK方式から「SAE(Simultaneous Authentication of Equals)」に改められました。「WPA3-Personal(WPA3-SAE)」はユーザーが入力した任意のパスワードから解読困難な楕円曲線暗号を生成し、PSK方式よりもセキュアな認証が可能です。
WPA3-SAEはAESベースのCCMPに対応し、エンタープライズモードの「WPA3-Enterprise(WPA3-EAP)」は新しい暗号化アルゴリズム「CSNA(Commercial National Security Algorithm)」を採用しています。
現状では最も高セキュアな認証方式で、2019年以降は対応機器も増えていますが、複数の脆弱性も発見されていることには注意が必要です。
イッツコムは光回線とWi-Fiセキュリティサービスを一括提供
Wi-Fiセキュリティには暗号化と認証が必須ですが、社内ネットワークにアクセスするなら企業の通信環境の整備も求められます。さらにセキュアなVPNを導入する際、イッツコムのモバイル閉域接続ならWi-Fi接続が不要です。イッツコムの多彩なサービスの中から、イッツコム光接続サービスとモバイル閉域接続を紹介します。
イッツコム光回線
イッツコムの法人向け光回線「イッツコム光接続サービス」は、下り最大2Gbpsの安定した高速回線を利用できます。一般的な光回線サービスはプロバイダサービスと別に契約する必要があり、メールやマイページといったサービスも基本料金に含みますが、イッツコム光接続サービスは光回線とプロバイダサービスを一括提供する仕様です。
電話サポート以外はオプション提供にすることで、他社サービスよりもランニングコストを抑えられます。必要なサービスだけを選択できるので、予算に合った柔軟な契約が可能です。さらに、トラブルの際も問い合わせ窓口はひとつなので、スピーディーに問題の切り分けや連絡ができます。
モバイル閉域接続
イッツコムの「モバイル閉域接続」は、VPNの仕組みを利用したセキュアな通信サービスです。PCやスマホに専用SIMを挿入するだけで導入でき、通信キャリアのモバイル回線網とイッツコムネットワーク内の閉域網で接続します。
エリア内のどこからでも、インターネットを経由せず社内ネットワークに接続できるので、テレワークの大幅なセキュリティ強化が可能です。さらに、PCやスマホを業務利用する際にWi-Fiを使う必要もありません。モバイル閉域接続の導入によって、主に以下のことが実現できます。
・社外のデバイスからも社内セキュリティポリシーを維持して通信できる
・場所や時間を選ばない働き方ができる
・ペーパーレスで営業に行ける
・専用SIMを挿入するだけで、スマホ・ドライブレコーダー・監視カメラの動画も簡単に共有できる
まとめ
Wi-Fiは電波を使ってデータ伝送するという性質上、常に情報漏えいや不正アクセスのリスクがあります。暗号化や認証の仕組みでセキュリティレベルを高められますが、モバイル閉域接続なら専用SIMを使ったセキュアなアクセスができるので、テレワーカーがどこにいてもWi-Fiを使う必要がありません。
イッツコムはモバイル閉域接続・boxによるセキュリティ対策やワークフロー管理の他、ZoomやホットプロファイルによるWeb会議や営業支援、光回線やWi-Fi接続によるインフラ整備まで幅広いサービスを提供しています。ビジネス環境のトータルなアップグレードをお求めなら、多彩なサービスを自由に組み合わせられるイッツコムにご相談ください。
