Contact
「設定したら終わり」を卒業するために|総務省ガイドラインを土台にした実践手順
【この記事のポイント】
- 社内Wi-Fi特有のリスク(盗聴・なりすましAP・不正侵入・踏み台化・従業員の自宅Wi-Fi経由の事故)が理解できる
- 「暗号化・パスワード」「社内/ゲスト分離」「認証方式(WPA2/WPA3-Enterprise)」「ルーターのサポートとアップデート」「運用ルール」の5つの軸で、どこから対策すべきかがイメージできる
- 実体験と現場の声から、「設定を放置したWi-Fi」が招いたヒヤリと、「運用を整えた後の“少し静かな日常”」の温度差が、感情レベルで想像できる
今日のおさらい:要点3つ
- 一言で言うと、社内Wi-Fiのセキュリティ対策は「①暗号化とパスワード」「②社内用と来客用の分離」「③ルーターと運用ルールのアップデート」の3本柱で考えるのが基本です
- 最も重要なのは、「WPA2/WPA3+長く複雑なパスワード」「社内SSIDとゲストSSIDのVLAN分離」「可能なら802.1X+RADIUSによるエンタープライズ認証」「サポート期限内で最新ファームのルーター」を押さえることです
- 失敗しないためには、“一度設定したら終わり”ではなく、「半年〜1年ごとに暗号化方式・パスワード運用・機器サポート状況・接続ルール」を見直し、自宅Wi-Fiや公衆Wi-Fiを使うテレワークも含めて、全体のリスクを定期的にチェックする必要があります
この記事の結論
一言で言うと「社内Wi-Fiのセキュリティは、“WPA2/WPA3+強いパスワード+最新ファーム”を前提に、“社内用とゲスト用のネットワーク分離”と“可能なら802.1X認証”までをセットで考えるべき」です。
最も重要なのは、「①暗号化方式とパスワードの強度」「②社内リソースへのアクセス制御」「③ルーターのサポート期限とアップデート」「④人の出入りを前提にした認証と運用ルール」を押さえ、不正アクセスと漏えい・踏み台化のリスクを現実的な水準まで下げることです。
失敗しないためには、“パスワードをたまに変える”だけで安心せず、構成図と接続ルールを一度棚卸しして、「どのSSIDから、どこまで到達できるのか」「退職者や外部委託のアカウントをどう扱うか」まで含めて設計し直すことが欠かせません。
社内Wi-Fiに潜むリスクを具体的にイメージする
Wi-Fi特有のリスクと「電波の怖さ」
LanScopeは、企業Wi-Fiのリスクとして次のようなものを挙げています。
- 通信内容の盗聴(暗号化が弱い/ない場合)。
- 不正アクセスポイント(偽Wi-Fi)による情報窃取。
- 従業員の自宅Wi-Fiに起因したインシデント。
- データ改ざん・マルウェア感染・DDoS攻撃への踏み台化。
ITS COMも、Wi-Fiは有線よりセキュリティリスクが高い理由として
- 電波が届く範囲なら、社外からでもアクセス可能。
- 通信経路をコントロールしにくい。
ことを挙げ、「セキュリティ機能に優れたAPと適切な設定・運用が重要」としています。
正直なところ、“電波が外に漏れている”という感覚を持たないと、Wi-Fiの危なさはピンと来にくいです。
【実体験1】「お店のWi-Fiです」と言われたネットワークの正体
数年前、とあるカフェで作業していたときのことです。 店員さんに
「Wi-Fiありますか?」
と聞くと、SSIDとパスワードが書かれた紙を渡されました。
スマホでWi-Fi一覧を開くと、同じ名前のネットワークが2つ。 少し嫌な予感がして両方を調べてみると、片方は暗号化が弱く、IP帯も不自然でした。
実は、誰かが店のSSIDに似せたテザリングを飛ばしていたのです。
あのとき、自分が何も考えずに接続していたら—— IDやパスワード、仕事で扱っていたデータが、見知らぬ誰かの手の中にあったかもしれません。
画面を見つめながら心の中で
「実は、“知っている名前のWi-Fiだから安全”という思い込みが、一番怖いのかもしれないな。」
とつぶやいたのを覚えています。
社内Wi-Fiも同じで、“社名入りSSIDだから安心”ではなく、「どう守っているか」で安全性が決まります。
総務省が示す「Wi-Fiを安全に使う」最低ライン
総務省は2025年に「無線LAN(Wi-Fi)のセキュリティに関するガイドライン」を更新し、自宅・公衆・提供者向けにそれぞれポイントを示しています。
自宅Wi-Fi向けの基本ポイント:
- セキュリティ方式は「WPA2またはWPA3」を選択。
- パスワードは第三者に推測されにくいものに。
- サポート期限内のWi-Fiルーターを利用。
- ファームウェアを最新に保つ。
- ルーター設定を定期的に確認。
これはそのまま社内Wi-Fiにも当てはまります。 「WPA2/WPA3・強いパスワード・サポート期限内の機器・最新ファーム」が、大前提の“土台”と言えます。
「暗号化と認証」で“鍵”を強くする
ポイント① WPA2/WPA3と強いパスワードが前提
LanScopeは、Wi-Fi対策として
- セキュリティレベルが高い暗号化方式(WPA2/WPA3)の利用。
- 長く複雑な管理パスワードの設定。
- 自動アップデート機能の有効化。
を挙げています。
日本通信ネットワークも、「企業Wi-Fiのセキュリティ対策は、パスワード変更だけでは不十分であり、RADIUSサーバーを立ててIEEE802.1X認証を活用するのがベスト」と述べたうえで、パスワードに関して
- 英大文字・小文字・数字・記号を組み合わせる。
- 社名・電話番号・誕生日など推測されやすいものは避ける。
ことを推奨しています。
正直なところ、「SSID=会社名、パスワード=電話番号」は、攻撃者からすると“プレゼント”に近いです。
【現場の声】「よくあるのが“SSID:社名、パスワード:代表番号”というパターン」
企業向けWi-Fiの記事では、現場担当者の声として
「正直なところ、SSIDに社名、パスワードに代表電話や郵便番号を使っているネットワークは、まだまだ多いです。」
「実は、会議室の壁にSSIDとパスワードを大きく貼り出しているオフィスも珍しくありません。」
といった“あるある”が紹介されています。
設定した側からすると「覚えやすいから」。 しかし攻撃者からすると、「推測しやすい」「写真1枚で抜ける」パスワードです。
“覚えやすさ”ではなく“推測されにくさ”を優先するルールを、組織として決めておく必要があります。
ポイント② 共通パスワードから「ユーザーごとの認証」へ
C-NTNやSophiaテックは、社内Wi-Fiの認証について
- 全員共通のパスワード方式は、退職者や漏えい時のリスクが大きい。
- エンタープライズ認証(WPA2/WPA3-Enterprise+802.1X)で、社員ごとのID/パスワードや証明書で接続するのが理想。
と説明しています。
メリット:
- 退職時はアカウント無効化で済む(パスワードを全員に再配布しなくてよい)。
- 接続ログをユーザー単位で残せるため、監査やトラブルシュートがしやすい。
デメリット(/課題):
- RADIUSサーバーや証明書運用など、導入・運用のハードルが少し上がる。
ケースによりますが、「人の出入りが多い」「拠点が複数」「監査対応が必要」な環境ほど、共通パスワード運用のコストがじわじわ効いてきます。
「分離と運用」で“被害範囲”を小さくする
ポイント③ 社内用SSIDとゲストSSIDをネットワーク的に分離する
Furuno SystemsやSophiaテックは、社内Wi-Fiを安全にするための大前提として
- 社内SSID:社員・管理端末のみ接続。社内システムやプリンタへアクセス可。
- ゲストSSID:来客・協力会社・個人端末用。インターネットのみ可(社内LANアクセスは禁止)。
という“二本立て”を強く推奨しています。
具体的には:
- VLANでゲスト用と社内用を論理分離。
- ファイアウォールでゲストから社内への通信を遮断。
- ゲストSSIDには帯域制限や時間制限をかけることも。
総務省の「Wi-Fi提供者向け手引き」でも、公衆Wi-Fi提供者に対して「利用者向けネットワークと管理者・社内ネットワークの分離」を明確に求めています。
よくあるのが、“SSIDだけ別”で実際には同じLANにぶら下がっているパターンです。分離は“名前”ではなく“経路”で行う必要があります。
【実体験2】「ゲストWi-Fiだから大丈夫」と思っていたら、社内プリンタが全部見えていた
とある会社のゲストWi-Fiを確認したときのことです。 渡された紙には、
- SSID:Company-Guest
- パスワード:company2024
と書かれていました。
接続してネットワークを探索してみると—— 社内のプリンタとNASが、一覧にずらっと並んでいました。
「正直なところ、ゲストはインターネットにしか出られないと信じていました。」
と担当者。
実際には、SSIDこそ分かれているものの、LAN側は社内と同じセグメント。 “ゲストルーター”ではなく、単に同じルーターの別SSIDだったのです。
VLAN分離とファイアウォール設定で、
- ゲスト→社内LANはブロック。
- ゲスト→インターネットのみ許可。
に変えたあと、担当者は
「実は、あのときの画面を見た瞬間、背筋が少し冷たくなりました。」
と打ち明けてくれました。
「ゲストにSSIDを配る以上、その裏側がどうなっているか」を一度確認することは、本当に重要です。
ポイント④ ルーターのサポート期限・ファームウェア・設定の定期点検
総務省のガイドラインやLanScopeは、ルーターやAPについて
- サポート期限内の機器を使うこと。
- ファームウェアを最新に保つこと。
- 設定を定期的に見直すこと。
を繰り返し強調しています。
理由:
- 古い機器は、新たな脆弱性に対するパッチが提供されなくなる。
- 既知の脆弱性を突かれると、ルーターごと踏み台にされるリスクがある。
LanScopeは、「自動アップデート機能を有効化し、年1回は設定とログを確認する」ことを推奨しています。
正直なところ、“まだ動いているから”という理由だけで、10年前のルーターを使い続けるのはかなり危険です。
よくある質問
Q1:WPA2で十分ですか?WEPやWPAはまだ使えますか?
A1:総務省は「WPA2またはWPA3」を推奨しており、WEPやWPAは既知の脆弱性が多く使用は避けるべきとされています。新規導入や更新なら、可能な限りWPA3を優先するのが望ましいです。
Q2:パスワードはどれくらいの長さ・複雑さが必要ですか?
A2:LanScopeは、英大文字・小文字・数字・記号を組み合わせた長いパスワードを推奨しています。社名・電話番号・誕生日など推測されやすい文字列は避け、管理パスワードは特に厳重に設定するべきです。
Q3:共通パスワードから802.1X認証に切り替えるのは大変ですか?
A3:RADIUSサーバーや証明書運用が必要なため一定のハードルはありますが、人の出入りが多い企業では、長期的に見ればパスワード変更や事故対応の手間が大きく減ります。段階的に対象SSIDや拠点を広げる進め方が現実的です。
Q4:ゲスト用Wi-Fiはどこまで分離すれば良いですか?
A4:FurunoやSophiaテックは、「ゲストはインターネットのみ」「社内LANへのアクセスは完全遮断」を基本としています。VLANで分けたうえで、ファイアウォールでLANアクセスを無効化するのが安心です。
Q5:社内Wi-Fiのセキュリティ、どのくらいの頻度で見直すべきですか?
A5:LanScopeは「自動アップデートを有効化しつつ、年1回は設定とログを点検」することを推奨しています。総務省のガイドライン更新のタイミングにも合わせて見直すと、最新の脅威にも対応しやすくなります。
Q6:テレワークで従業員の自宅Wi-Fiを使う場合、どう注意すべきですか?
A6:総務省は、自宅Wi-Fi向けにも「WPA2/WPA3・強いパスワード・最新ファーム・サポート期限内の機器」を求めています。社内ポリシーとして、自宅Wi-Fiの最低条件をガイドライン化しておくと安心です。
Q7:社内Wi-Fiセキュリティは、どこから手を付けるべきですか?
A7:C-NTNやLanScopeの解説を踏まえると、①暗号化方式とパスワードの見直し、②社内/ゲスト分離の有無、③ルーターのサポート・ファーム状況、④運用ルール(誰にSSIDとパスワードを渡すか)の4点を、まず棚卸しするのが効果的です。
まとめ
社内Wi-Fiのセキュリティを守るには、「WPA2/WPA3+推測されにくい長いパスワード+サポート期限内で最新ファームのルーター」という“基礎体力”を整えたうえで、「社内用SSIDとゲストSSIDのネットワーク分離」「可能なら802.1X+RADIUSによるユーザー単位認証」「定期的な設定・ログの点検とルール整備」まで含めて考えることが重要です。
総務省や各ベンダーのガイドラインが示すように、Wi-Fiは便利な一方で、「盗聴・なりすまし・不正侵入・踏み台化・自宅Wi-Fi経由の事故」といったリスクを抱えていますが、暗号化・認証・分離・機器更新・運用ルールといった基本対策を段階的に実装していけば、多くのリスクを現実的な水準まで抑えることができます。
💻 IT・通信に関するご相談はこちら
「業務効率を改善したい」
「通信環境を見直したい」
「自社に合うシステムを導入したい」
そんなお悩みはありませんか?
コムネットワーク株式会社では、
お客様の課題に合わせた最適なIT・通信ソリューションをご提案します。
まずはお気軽にご相談ください。
📞 フリーダイヤル:0120-56-9665
📞 TEL:052-533-0331
📠 FAX:052-533-0306
👉 お問い合わせはこちら
https://comnetwork.co.jp/contact/
―――――――――――――――
👩💼 採用エントリーはこちら
新卒・中途ともに募集しています。
IT業界で活躍したい方はぜひご応募ください。
👉 エントリーはこちら
https://comnetwork.co.jp/recruit/
