Wi-Fiルーターの新常識!! もう1つの「技適」で必須化されたセキュリティ対策とは？

総務省の「電気通信事業法に基づく端末機器の基準認証に関するガイドライン(第2版)」。インターネットに直接接続する機器では2020年4月以降は、このガイドラインに沿ったセキュリティ機能が必須化されている

　「Wi-Fiルーターのセキュリティ対策」と聞いて何を思い浮かべるだろうか？

　ファームウェアの更新や暗号化キーの変更などは、これまで本誌でも機会があるごとに伝えてきたが、実はこうしたセキュリティ対策のうち、重要なものは、もう1つの技適となる「技術基準適合“認定”」の現在の要項において、Wi-Fiルーターへの実装が必須化されているのだ。

　では、どのような項目が必須化されていて、メーカーがどのように実装しているのか、そして我々はどう対応すればいいのかを解説していきたい。

背面ラベルで確認できる「最低限のセキュリティ対策」

　まずは、自宅で使っているWi-Fiルーターの背面や底面のラベルを見てほしい。

　そこに記載されている情報が以下の2つを満たしている場合、ひとまずWi-Fiルーターの最低限のセキュリティ対策はできていると判断することができる。

条件1：技適マーク欄に四角「T」で記載された番号がある
条件2：2020年4月以降に発売された製品である

　おそらく四角「T」の番号は、ほとんどのWi-Fiルーターに記載されていると思われる。条件2の発売日は判断しにくいが、ひとつの目安として、その番号の英字（D）に続く数字が目安となる。「D21」や「D22」「D23」となっていれば、条件を満たす可能性が高い。

※注：技術基準適合認定番号の英字に続く2桁の数字は申請年の西暦の下2桁となる。厳密には技術基準適合認定が認定された年月日で判断すべきなので、あくまでも目安と考えてほしい。D20は微妙なので自分で判断するのが確実

背面や底面に記載されているTの技適マークの番号に注目

　一方、番号がない、もしくは2020年4月以前に購入、もしくは購入時期が不明の場合は、セキュリティ対策に注意が必要だ。ファームウェアのアップデートやパスワード変更など、手動のアクションが必要になる。

「R」と「T」、2つある技適番号今回確認した「T」の番号の意味は？

　なぜ、ラベルをチェックしたのかというと、Wi-Fiルーターのセキュリティ対策は、2020年4月を境に、その前とその後で発売された製品で異なる場合があるからだ。

　2020年4月1日、「端末設備等規則及び電気通信主任技術者規則の一部を改正する省令（平成31年総務省令第12号）」という総務省令が施行され、Wi-Fiルーターを含むIoT機器のセキュリティ対策実装が必須になった。

認定機関のTELECのウェブサイトに記載さているセキュリティ基準についてのQ&A

　Wi-Fiルーターに関連する法令というと、いわゆる「技適」を思い浮かべると思うが、実は、技適には2つの種類がある。

　1つは、お馴染みの電波法で定められている「技術基準適合“証明”」だ。技適マークと一緒に「R」で始まる番号が記載されているが、これが電波に関連する国内法令の技術基準（周波数帯や出力など）を満たしていることを示す番号となる。こちらは、電波を扱う機器に必須で、証明を受けていない機器で電波を発信すると違法になる。

　もう1つは、同じ技適マークに並んで表示されている「T」で始まる番号の「技術基準適合“認定”」だ。電話機やFAX、モデムなどを扱ったことがある古いユーザーは知っているかもしれないが、こちらは「電気通信事業法」という異なる法令によって定められているものだ。

Rが技術基準適合証明、Tが技術基準適合認定

　通信ネットワークに接続する機器に求められる基準で、必須ではなく、どちらかというとあると便利な認定となる。例えば、ＮTT東日本のフレッツ光の契約約款には以下のように、技術基準適合認定がある機器以外をつなぐときは申請が必要としている（申請に加えて検査も必要で適合していない場合は接続が拒否される）。

▼IP通信網サービス契約約款　別記5（PDF）

自営端末設備の接続等

IP通信網契約者又はローミング契約者は、その契約者回線等の終端において又はその終端に接続されている電気通信設備を介して、その契約者回線等に自営端末設備を接続するときは、その接続の請求をしていただきます。この場合において、端末機器の技術基準適合認定等に関する規則（平成16年総務省令第15号。以下「技術基準適合認定規則」といいます。）様式第７号の表示が付されている端末機器（技術基準適合認定規則第3条で定める種類の端末設備の機器をいいます。）、技術基準及び技術的条件に適合することについて事業法第86条第1項に規定する登録認定機関又は事業法第104条第2項に規定する承認認定機関の認定を受けた端末機器以外の自営端末設備を接続するときは、当社所定の書面によりその接続の請求をしていただきます。

　というわけで、事実上、インターネットに接続するWi-Fiルーターには必須の認定で、市販の製品のほとんどは、この両方、「R」と「T」の両方の技適番号が記載されていることになる。

　なお、技術基準適合認定はインターネットに「直接」つながる機器に適用されるものとなっているため、Webカメラや中継機など、上位にルーターが存在する場合は認定がなくてもかまわない。

「2020年4月の省令」で必須化されたセキュリティ基準とは

　では、具体的にどのようなセキュリティ基準に変更されたのかを見てみよう。

　電気通信事業法の端末設備等規則（第34条の10、いわゆる「セキュリティ基準」）の規定では、Wi-Fiルーターを含むIoT機器（インターネットプロトコルで直接通信する端末）について以下のようなセキュリティ機能の実装が必須化された。

▼「電気通信事業法に基づく端末機器の基準認証に関するガイドライン(第2版)」（案）についての意見募集の結果及びガイドラインの公表

アクセス制御機能

管理画面をIDとパスワードで保護することで利用者本人以外が不正に設定を変更できないようにすること

管理画面を保護する

ID/パスワードの初期状態変更を促す機能

　初期設定で変更するための画面を表示するか、機器ごとに個別の識別符号を設定した状態で出荷すること。

国内メーカーでは個別の識別符号を設定するケースが多い

ソフトウェア更新

　ソフトウェア（ファームウェア）を更新する機能を搭載すること。安全かつ自動で行われることが推奨される。

ファームウェアを自動で更新

停電後、停電間の設定状態を維持

　電源がオフになっても、上記で設定したIDやパスワード、ファームウェアが出荷時状態に戻らず、変更した値を維持できること。

機種によっては「保存」ボタンでの保存が必要なケースもあるが、自動的に保存し、再起動後も維持してれる製品が多い

　つまり、2020年4月以降に発売された「T」ではじまる番号付きの製品であれば、基本的なセキュリティ対策が実装済みとなっているということになる。

「2020年4月」前でも、メーカーの基準で対策されているケースも

　しかしながら、2020年4月は、3年ちょっと前なので、印象としてはつい最近だ。時期的にはWi-Fi 6対応製品が増え始めたころとなる。

　「最近買い替えた」「少し前に買い替えた」という記憶がある人なら、条件を満たしているかもしれないが、そうでない人の方が多いことだろう。

　では、2020年4月より前に発売されたWi-Fiルーターはセキュリティ対策に不備があるのかというと、必ずしもそういうわけではない。

　なぜなら、法令が施行される前から、メーカーによって独自の基準でセキュリティ対策がなされているケースもあるからだ。特に、2016～2017年頃に発生した「Mirai」による大規模なDDoS攻撃の後に発売された製品は、その対策としてセキュリティ機能が標準で有効化されるケースが増えている。

　以下は、国内で製品を販売している各メーカーに話を聞いてまとめたセキュリティ対策状況だ。

　もちろん、メーカーによって、細かな違いはあるが、基本的な方針は、前述した技術基準適合認定と共通したものであり、各メーカーとも基本的な対策ができていると言える。

サポート期間について

　サポートには、製品の問い合わせや修理などを含む保証期間を指す場合もあるが、ここで言う「サポート」とは、発売後に脆弱性が発見された場合にファームウェアの更新が受けられるかどうかという点になる。

　脆弱性対策という観点では、特に期限を定めていないメーカーがほとんどだ。特に影響範囲が大きく、深刻な脆弱性の場合は、期限を問わずサポートするという姿勢をほとんどのメーカーが示している。場合によっては10年以上前の製品のファームウェアを今年リリースしたというメーカーもあり、古い機器のサポートそのものは珍しくない。

　ただし、すべての製品が無期限にサポートされるわけではなく、販売終了から一定期間経過した古い製品や出荷台数が少ない製品、ハードウェアやソフトウェアの仕様上、どうしても改修できない場合は、やむを得ずサポートを停止し、買い替えを提案するケースもある。

⇒古い機器を使い続けることは可能だがいつか限界は訪れる。

アイ・オー・データ機器のサポート・修理終了機種一覧

更新頻度

　PCやスマートフォンでは月に1回など、更新のリリース間隔などが定められていることがあるが、Wi-Fiルーターの場合、こうした定期的なスケジュールによる更新は、各メーカーとも定めていない。

　基本的に脆弱性が発見されたタイミングで、なるべく早く更新するという姿勢になる。特に社会的な影響が大きい場合は、優先的に対処するという方針がほとんどだ。

　また、発売直後の製品ほど更新間隔が短く、古い製品になるほど更新間隔が長くなる傾向も各社で共通となる。このほか、「売れた製品（＝市場に多く存在する製品）」も早く、頻繁に更新される傾向がある。

⇒新しい製品、人気のある製品を選ぶとセキュリティ更新も早くて安心。

バッファローのセキュリティに関する情報ページ

自動ファームウェア更新機能

　自動ファームウェア更新は、前述した法令で規定されていることもあり、現在の対応状況はすべてのメーカーで実装済みという状況だ。

　特にWi-Fi 6対応製品では、ほとんどのメーカーが実装済みと回答している。Wi-Fi 6の国内解禁は2019年9月なので、先の法令対応含め2020年以降に購入した機器であればほぼ対応していると考えられる。

　Wi-Fi 5世代の場合はモデルによって搭載状況が異なるため、定期的に自分で更新作業をするのが無難だ。

⇒3年前程度に購入した機器なら対応している可能性が高く安心して利用できる。

古い機種ではメーカーのウェブサイトから自分でファームウェアをダウンロードして更新する必要がある

Wi-Fi接続時や管理画面のパスワードの設定状況

　近年は、海外メーカーでは初期設定時に自分で設定する方式が主流で、国内メーカーは出荷時状態でランダムな値が設定済みとなっている方式が主流となっていたが、直近では海外メーカーもランダムな値の採用を始めている状況となる。

　いずれの場合も技術基準適合認定のセキュリティ基準を満たしているため、ルール上は問題ない。

　ただし、ユーザーが自分で設定する方式の場合、単純な値が設定されてしまう可能性があるため、パスワードの要件として文字数や文字種を規定したり、複雑さをグラフィカルに表示したり、「1111」などの単純な値を設定したりできないように工夫をしているメーカーが多い。

　一方、Wi-Fi暗号化方式は、最近のモデルであれば、最新規格となるWPA3がほとんどのメーカーで搭載されているが、標準で有効化されているかどうかはメーカーによって異なる。

　これは、WPA3に対応しない古い機器（IoT機器や家電、ゲーム機など）がある場合、互換性が問題になるためだ。このため、WPA3のみというケースは少なく、WPA3/WPA2のいずれかで接続できるように工夫している。

⇒接続先のSSIDの名称や設定画面から自分で確認が必要。できればWPA3推奨。

WPA3の利用を推奨。パスワードも複雑な値を設定しておくこと

そのほかのセキュリティ対策

　セキュリティベンダーと協力したセキュリティ機能を搭載するメーカーが増えていて、Wi-Fiルーターのセキュリティチェックやフィッシングサイトへのアクセス遮断、Wi-Fi接続端末の検出と通知など、さまざまな機能を利用できる。

　機能はメーカーによって異なるうえ、料金も異なる。いずれも無料で利用できる期間が設けられているので、試してみることをおすすめする。

　また、スマートフォン向けアプリを活用し、セキュリティ状況や各種アラートを警告する機能を提供するメーカーも存在する。安全性が高まるというよりは、ユーザーがセキュリティに対する意識を持つことができる点がメリットとなる。

⇒高度なセキュリティ対策は必須ではないが、あれば不備を見つけやすい。

「5年」がひとつの目安になりそう

　このように、Wi-Fiルーターのセキュリティ対策は、法令で定められている部分、メーカーが独自の基準で対策している部分があるが、いずれも対策そのものは同じになっている。

　このため、現在お使いのWi-Fiルーターの購入時期によって、おおまかに分類すると以下のようになる。

購入から2～3年

　標準設定で問題ないが、時間のあるときに設定画面でファームウェアの自動更新やパスワードなどのセキュリティ項目を軽くチェックしておく。

購入から4～5年

　設定画面の確認に加えて、手動でのファームウェア更新を実施。自動更新がない場合は定期的な更新を実施。メーカーウェブサイトでサポート情報も確認しておく。

購入から5年以上経過

　設定確認やファームウェア更新を定期的なメンテナンスとして実施。できれば最新機種に買い替えを推奨する。

　このように期間が経過しているWi-Fiルーターは、やはり自分の手によるセキュリティ対策が必須と言える。わかりやすい世代で言えば、Wi-Fi 5世代の製品は要注意となる。

　この機会に、設定画面を開き、ファームウェアを更新し、各種設定を見直しておくことを強くお勧めする。