特集
【第2回】「テレワーク」や「ハイブリッドワーク」はWi-Fiのセキュリティ対策をお忘れなく!
最新の暗号化通信や正しい機器の設定で安全かつ快適にWi-Fiを活用する
2022年3月17日 06:55
働き方改革の推進とコロナ禍の影響などにより、テレワークの普及してきた昨今。オフィスと自宅での「ハイブリッドワーク」が日常となったという人も増えてきているのではないでしょうか。オフィスで仕事をしているときは、多くの企業で専属のネットワーク技術者/管理者により常に守られているネットワークも、テレワーク時は基本的に自身の手で守らなければなりません。ここでは、テレワークやハイブリッドワークを安全に利活用するための実際の設定や対策を確認していきます。
テレワークにおけるWi-Fiセキュリティの基本的な考え方
PC自体のセキュリティ対策も同時に見直しましょう
自宅Wi-Fiルーターのセキュリティ設定を確認して安全を確保
プライベートと仕事を分離する工夫をする
テレワークにおけるWi-Fiセキュリティの基本的な考え方
オフィス、自宅、コワーキングスペースなど、場所を問わずに仕事をする「テレワーク」や「ハイブリッドワーク」で必要となるのがインターネット回線です。そして、重要な仕事のデータをインターネットを介して扱う以上、セキュリティ対策も同時に考えなくてはなりません。たとえば、暗号化を施した上で利用するのが鉄則のWi-Fiルーターを、めんどうくさいからと暗号化を設定せずに設置・利用するようなことは絶対に避けましょう。
基本スタンスとして、会社のテレワークにおけるセキュリティ対策の方針、行動ルールがある場合にはそれに従った設定を実施します。ルールは会社によってもさまざまなものがありますが、とくに気を付けなくてはならないのは“使ってよい通信環境”について、たとえば、インターネットに接続するためのWi-Fi環境の安全をどう守るか、という点です。
たとえば、会社支給のモバイルWi-Fiルーター経由で接続するよう通達されているケースでは、自宅やホテルなどにWi-Fiがあっても会社のPCはつながず、必ず指定のモバイルルーターを使用する、といったように“会社のシステム管理者がセキュリティを監視できる厳格な仕組み”を用意している場合は、これを利用します。
しかし、通信手段や接続先、機器の管理を個人に任されているケースも少なくありません。まずは、オフィスを離れた場所でPCでWi-Fiを利用する際の基本的な注意点を覚えておきましょう。
コワーキングスペース、カフェやホテルなどでは、その施設で提供されている公衆Wi-Fiを使うケースが多いと思います。その場合には、必ず施設が提供した安全なWi-Fiであることを確認した上で接続してください。たとえば、暗号化不要のWi-Fiスポットだとしたら、通信を“覗き見”されるリスクは非常に高くなるので、絶対に使うのは避けるべきです。同様に、暗号化方式が古い「WEP」のままのWi-Fiを利用するのも非常に危険です。最新の端末では、危険性が高いWi-Fiに接続しようとすると、警告メッセージを表示してくれるものもあります。
最近の事例として、施設のWi-Fiと名前(SSID)をまねた悪意のあるWi-Fiルーターに接続させ情報を抜く手口も出てきています。施設で提供されるWi-FiのSSIDとパスワードをよく確認してから接続するようにしましょう。無料でつながるから、と安易に飛びつかず、事前の準備と確認を怠らずに!
PC自体のセキュリティ対策も同時に見直しましょう
PCで接続する場合は、接続前にPC自体のセキュリティ設定を見直しておきましょう。基本的に、公共のWi-Fiに接続するときは、ほかのPCから自分のPCが見えないようにする、ファイアウォール(不正アクセスからの防御壁)を使用する、の2点が基本です。
Windows 11の場合には、「設定」の「ネットワークとインターネット」からWi-Fi接続先のプロパティを開き、「ネットワークプロファイルの種類」で「パブリック(推奨)」に設定します。こうすることで、他のPCから自分のPCが見えないように設定できます。さらに「Windowsセキュリティ」で「ファイアウォールとネットワーク保護」を確認し、「パブリックネットワーク」に「操作は不要です」や「ファイアウォールは有効です」と表示されていれば、ファイアウォールが使用されている設定になっています。
AppleのMac(macOS Monterey)の場合は、「システム環境設定」の「セキュリティとプライバシー」の「ファイアウォール」を「オン」にしておきましょう。
Webブラウザーで接続する場合でデータをやり取りする(メール送信やフォーム入力など)必要があるサイトは、SSL/TLS接続が有効になっているサイトにしておきます。これは閲覧時にアドレスバーにカギや錠前のマークが付くので確認できます。その際URLは「https://~」になっています。この状態であれば、Webブラウザーとサーバー間の通信は暗号化されています。
自宅Wi-Fiルーターのセキュリティ設定を確認して安全を確保
自宅の光回線などでWi-Fiルーターを使う場合には、以下のチェックポイントを守って設定することをお勧めします。ここで設定例として見せているのは、バッファローのWi-Fi 6ルーター「WSR-5400AX6S」です。モバイル回線を使うWi-Fiルーターでも、セキュリティ対策の基本的な考え方は同じです。
1)ログインする管理者用のパスワードを変更
万一Wi-Fiに不正アクセスを許してしまった場合や、物理的に有線LANケーブル接続をしてルーターの設定変更されることを防ぐため、ルーターの設定画面に入るための管理者IDやパスワードをオリジナルの文字列に変更しておくことをお勧めします。最近のWi-Fiルーターでは、初期設定時に変更をうながすものや変更必須のものがあり、変更を忘れることを防いでいます。
また、インターネット回線(WAN)側からログイン可能にする機能がある場合にはOFFにしておきましょう。使い勝手は若干悪くなりますが、設定画面を有線LAN経由でのみ使えるようにすることも有効です。
万一Wi-Fiルーターへの不正アクセスで設定を変更されてしまうと、Wi-FiルーターにつながっているPCへの“不正な裏口”を作られてしまったり、ユーザーを悪意あるサイトに誘導するような罠を仕込まれるなどの被害を受ける可能性があります。
2)SSIDを自分だけが分かりやすいネーミングに変更
デフォルトのSSIDは「機種名+乱数」など、パッと見ただけでは自分のWi-Fiルーターか判別できないものになっていることがほとんどです。間違って他人のWi-Fiルーターに接続してしまわないようにするために、すぐに判別できる名前を付けておきます。ただし、会社名や自分の名前など、個人が特定できるものは絶対に避けるようにしましょう。
3)Wi-Fiの暗号化を「WPA3」にする
Wi-Fi 6のルーターには、最新の暗号化規格「WPA3 Personal」が搭載されているモデルが多くなっています。極力これを使いましょう。一部のメーカーのWi-Fiルーターでは、まだWPA3に対応していないWi-Fi接続機器を考慮して、「WPA2-PSK」とも互換性のある「WPA2/WPA3 Personal」が用意されている場合もあるので、利用可能ならこちらを設定するのも手です。
これよりも古い規格となる「WEP」、「WPA」、「WPA/WPA2-mixed mode」などは、ハッキング対象になり得るので使わないようにします。同時に「暗号化キー」もなるべく複雑なフレーズを用意して設定するようにします。これを2.4GHz帯と5GHz帯の両方で設定します。この「WSR-5400AX6S」では「SSID2」でのみ「WPA3 Personal」が選択できるので、こちらを使うようにして、ほかのSSIDはすべてOFFにしておきます。
お使いのWi-Fiルーターで「WPA3 Personal」が選べない場合は「WPA2 Personal」を選ぶといいでしょう。ただ、最新の方式ではないので、将来的には「WPA3 Personal」(およびその時点での最新の方式)に対応した新しいWi-Fiルーターに交換することも考慮しておくべきです。
4)Wi-Fiルーターのファームウェア自動更新をONにする
Wi-Fiルーターの基本的な機能を制御する“ファームウェア”は、セキュリティ上の重要なアップデートなどが行なわれることがあるので、基本的には最新のものにしておくべきです。多くのWi-Fiルーターにはファームウェアの自動更新機能が備わっているので、あらかじめONにしておきます。自動更新機能がない場合には、定期的に忘れずアップデートをチェックしましょう。
5)Wi-Fiルーターにファイアウォール機能がある場合にはONに
Wi-Fiルーターのファイアウォール機能はOFFにしないようにします。セキュリティ関連の設定は、むやみに変更しない方が安心です。使う必要がなければ、WAN側からもLAN側からもアクセス可能な隔離区画を作る「DMZ」機能や、対応機器同士をネットワークで接続する「UPnP」機能もOFFにしておきます。
プライベートと仕事を分離する工夫をする
自宅のWi-Fi環境の安全性をより高めるには、プライベートと仕事とでWi-Fi/ネットワーク環境を分離する、という方法も有効です。仮にプライベート側のWi-Fiが原因でセキュリティ上のトラブルが発生しても、会社や取引先にまで多大な被害・迷惑が広がる可能性がある仕事環境への影響を最小限に抑えられるからです。
方法の一つとしては、LAN内で接続している端末同士の通信を遮断する「プライバシーセパレーター」や「ネットワーク分離」といった機能を活用が挙げられます。これを使うと、Wi-Fiルーターに接続した子機間同士の通信が制限されます。“プライベートのスマートフォンやPC”と“仕事用のPC”をネットワークレベルで分離できるので、安全度はぐっと高まります。
ただし、端末間でのファイル共有や、LAN内に保存しているビデオや音楽のWi-Fi経由での再生もできなくなってしまいます。“日常生活”と“日々の仕事”が家庭内で共存するテレワークには、ちょっと厳し過ぎる制限になるかもしれません。
こうした機能がない場合や、家庭内での利便性も考慮するなら、もう少し柔軟に運用可能な方法として、「ゲストSSID(ゲストポート)」など、仕事専用の別SSIDを設定して使う方法がお勧めです。ゲスト用のSSIDは、一般的にほかのSSIDの端末との通信が遮断されています(※1)。
*1 ゲスト用SSIDの利用目的からいっても通常は遮断されていますが、ヘルプや取扱説明書を参照して、ほかのSSIDとの間の通信が遮断されているか確認してから使ってください
ゲストSSIDにタイマー機能が付いている環境であれば、仕事をする時間のみONにして使うということも簡単にでき、これもWi-Fiのセキュリティ対策になります。
機材が増えるのでちょっと大掛かりになりますが、プライベートで使うWi-Fiルーターと仕事用のWi-Fiルーターの2つを用意して、用途ごとに切り分けて使うとより安全です。とは言っても、光回線を2回線用意するという意味ではありません。プライベートで使うWi-Fiルーターを光回線に接続して、プライベート用Wi-Fiルーターの有線LANポートに仕事用のWi-FiルーターのWANポートを接続します。仕事用Wi-Fiルーター側のインターネットへの接続方法は「DHCPサーバーからIPアドレスを自動取得」を選び接続させます。
これにより、いわゆる「二重ルーター」状態になりますが、プライベート用とLANが分離されるので、プライベート側の影響を受けなくなるメリットがあります。もちろん仕事用のWi-Fiルーターにはプライベートな端末は一切接続しないようにして使います。
プライベート用の機器の使い勝手に影響が出る可能性はほぼなく、プライベート用と仕事用のどちらかにトラブルが生じてしまった場合の“遮断”という意味でも有効です。
Wi-Fiのセキュリティを確保して安全で快適な仕事環境を整えましょう!
働き方、日々の暮らし方も大きく変わる便利な「テレワーク」や「ハイブリッドワーク」は、セキュリティ対策がされた安全なインターネット回線での利用が大前提です。記事を参考に、必ず安全な状態に設定してから、仕事用のPCやスマートフォンを使うようにしてください。
なおこれらの情報は、オンライン講座「gacco」で、無線LANのセキュリティに関する講座でも紹介されています(2022年3月25日 23:59まで)
「安全なWi-Fi”を利用するために知っておきたいコト」記事一覧
(制作協力:総務省 サイバーセキュリティ統括官室)