無線LANは有線LANより安全か？

「Wi-Fiは無線だからセキュリティが心配・・・」

業務用のLAN回線にWi-Fi（無線LAN）の導入を検討されている方々は、少なからず上記のような不安を持っておられるかもしれません。

無線LANと有線LANのどちらが安全か？・・・有線LANは物理的なLANケーブルを接続しないと通信信号を傍受できない閉鎖性があるのに対して、無線LANの電波は開放的で、通信エリア内であればケーブル無しで傍受することができます。この観点では、無線LANは有線LANに比べて脆弱であると言えるでしょう。

無線LAN、すなわちWi-Fi通信は、ケーブルに縛られないという開放性・利便性の対価として様々な外部攻撃の脅威に常にさらされています。便利だが危険性があるというのはあらゆる無線通信技術に共通する二面性です。これはWi-Fiに限らず、全ての無線通信に当てはまります。

ところで、飛行機、電車、自動車・・・いずれも危険な乗り物です。にもかかわらず、人々はその危険性を理解しつつ日々利用しています。いや、これらの乗り物が無ければ現代社会は成立しないと言っても過言ではありません。

Wi-Fi通信も同じです。

「No Wi-Fi, No Life」とは海外でしばしば耳にする言葉です。Wi-Fiが無ければ生活できない！・・・ちょっと大げさな印象もありますが、現代を生きる多くの人々にとって頷けるフレーズではないかと思います。

乗り物の運転では、事故をできる限り減らすために様々な交通ルールが設けられています。これらのルールは、多くの不幸な事故を通して得られた教訓から生まれた危険回避のためのベストプラクティス（最善の方法）です。大きな事故が発生するたびに、交通ルールはアップデートされてきました。

Wi-Fiも、これと同じ経緯で進化してきました。

Wi-Fiを安全に使うためのルールや仕組みも、過去の様々なセキュリティインシデントの経験を経てアップデートされてきたのです。交通事故の発生を抑えるために交通ルールや自動車の安全装置が進化してきたのと同様です。

業務でWi-Fiをより安全に利用するためのベストプラクティスは、具体的には以下の３つに集約されます。

1. 最新のWi-Fiセキュリティ規格を適用する

Wi-Fiアクセスポイント／ルーターと接続するすべてのデバイスが対応している場合、WPA3（Wi-Fi Protected Access 3）を適用してください。これが難しい場合は、少なくともWPA2-AES（注：弊社最新製品のWPA2モードではその暗号化アルゴリズムはすべてAESに準拠しています）を使用してください。WEPやWPA-TKIPは脆弱性が多数発見されているため、使用は避けてください。これらはすでに古いセキュリティ規格です。

WPA3は、KRACKのような鍵の再インストールの脆弱性にも対応しており、かつパスワードが推測されにくいSAE認証を採用しています。これにより、オフラインでのパスワード辞書攻撃に対する耐性も大幅に向上しています。

2. ファームウェアを常に最新に保つ

Wi-Fiアクセスポイント／ルーターのファームウェアは、OSのようなものです。メーカーは、脆弱性が見つかるたびに修正プログラム（パッチ）をファームウェアのアップデートとして提供します。

脆弱性が発見されても、ファームウェアをアップデートしなければ、その脆弱性は放置されたままになります。これにより、攻撃者は既知の脆弱性を悪用して、ネットワークに不正に侵入したり、情報を盗んだりする可能性があります。ファームウェアは常に最新版に保つことが重要です。

言うまでもなく、Wi-Fiアクセスポイント／ルータの管理画面へのログインIDとパスワードの管理も徹底する必要があります。機器のデフォルトログインID・パスワードをそのまま使い続けるのは避け、推測されにくい組み合わせへと変更します。

3. 強固な認証とネットワーク分離を行う

単純なWi-Fi接続パスワード設定以上のセキュリティ対策が推奨されます。

・（大規模法人向け）エンタープライズ認証（802.1X認証）の導入

企業向けWi-Fiアクセスポイント／ルーターでは、IEEE 802.1X認証を導入することが推奨されます。これにより、ユーザーごとに異なるIDとパスワードで認証を行い、動的に暗号化キーを生成します。これにより、従業員一人ひとりのアカウントを管理でき、万が一パスワードが漏洩しても、そのユーザーの通信のみが影響を受け、ネットワーク全体が危険にさらされるリスクを低減できます。

・（小・中規模法人向け）強固なパスワード設定とネットワークの分離

・推測されにくいパスワード: 大文字・小文字・数字・記号を組み合わせた、12文字以上の複雑なパスワードを設定します。
・ゲストネットワークの利用: マルチSSID/VLANの機能を使って業務用ネットワークと来客用・個人用ネットワークを完全に分離します。ゲストネットワーク上のデバイスは、業務用の機密データにアクセスできないため、セキュリティリスクを大幅に低減できます。

・端末のアクセスログを残す

ログ機能を有効にし、時刻を中央のタイムサーバーに同期させます。これらのログを定期的に確認し、不審なアクティビティを検出します。

セキュリティに穴を生じさせないためには、上記のようなより高い安全性を担保するための処方箋に沿ってWi-Fiネットワークを運用することが大切です。しかし、物事に100%確実という事は無いように、上記をもってしてももちろん100％安全とは言い切れません。最新のベストプラクティスは総務省のサイトなどから確認することが出来ます。

総務省「無線LANの安全な利用について」
https://www.soumu.go.jp/main_sosiki/cybersecurity/wi-fi/index.html（外部サイト）

Wi-Fiは全世界の何十億もの人々が日々利用しており、社会に欠かせないライフラインと言っても過言ではありません。もちろん、オフィスのみならず工場、倉庫、店舗などでの業務利用も大いに進んでいます。適切な設定を行えば恐れることはありません。大いに活用していただき、その利便性を享受していただきたいと願います。