パナソニックEWネットワークス > Solutions > コラム一覧 > ルータセキュリティーを見直そう!セキュリティが必要な理由や、おすすめの設定を解説
ここから本文です。
ルータセキュリティーを見直そう!セキュリティが必要な理由や、おすすめの設定を解説
ネットワークシステム、入退室管理システム、カメラシステム構築に関するお問い合わせはこちら
Wi-Fiのルータにセキュリティが必要な理由
Wi-Fiはいまやオフィスはもちろん、家庭や外出先、リモートワーク先など、パソコンやタブレット、スマートフォンでネットワークに接続するときに、必要不可欠なものになっています。そして、その際に重要な役割を果たしているのがルータです。ルータは、今、あなたが使っているパソコンやスマートフォンなどが繋がっているLANと、インターネットをつなぐためのネットワーク機器。パソコンやスマートフォンなどをインターネットに接続するための機器とも言えますが、ルータの向こう側には広大なインターネットが広がっています。そのためルータのセキュリティを疎かにすると、思いもよらない被害を受けたり、知らないうちにハッキングなどに悪用されることもあります。Wi-Fiのルータにセキュリティが必要な理由を改めて、見ていきましょう。
理由①リソースのタダ乗り
Wi-Fiのルータに正しくセキュリティを設定しないままにしておくと、誰でもWi-Fiを利用できるような状態になってしまいます。有線LANであれば、知らない誰かが勝手にケーブルをつないで使っていたら、すぐに気づくことができますが、Wi-Fiの場合は、見知らぬ誰かが勝手に利用していても、すぐには気づくことができません。オフィスのWi-Fiは大切な経営資源。タダ乗りを防ぎ、必要なときに、いつでも、快適に利用できるようにしておく必要があります。
理由②通信内容の傍受
Wi-Fiルータのセキュリティを設定していない、あるいは設定が不十分だと、悪意を持った第三者、いわゆるハッカーなどに通信内容を不正に傍受されてしまいます。Wi-Fiを使った通信は通常、暗号化されていますが、盗聴の可能性は高くなります。
理由③不正アクセスやハッキング
さらに社内システムへの侵入、不正アクセスを許してしまうことになります。重要な経営情報や機密情報、顧客情報などが盗まれ、流出する事態にもなりかねません。
また昨今では、ウイルスを送り込まれてパソコンがロックされてしまい、解除のための身代金を要求される事件も起きています。身代金の支払いを拒否し、システムもすべて入れ替えることになったケースもあります。「当社は狙われないだろう...」そう思っていたら、ある日突然、パソコンがロックされてしまうかもしれません。
理由④踏み台として悪用
不正アクセスやウイルスなどの被害を直接受けることはなかったとしても、不正アクセスやハッキングなどに悪用されることもあります。ハッカーは身元を隠すために、複数のルータを経由して攻撃をしかけたり、セキュリティの不十分なルータを乗っ取って、攻撃に使ったりします。直接的な被害はなくても、被害を「与える側」になってしまう恐れがあります。
理由⑤レピュテーションリスク(評判リスク)
レピュテーションリスクとは、企業に対するマイナスの評価や評判が広がることで、経営に悪影響を与えることを言います。不正アクセスやハッキングは、企業にとっては「被害」であり、被害者なのですが、顧客や取引先からは「セキュリティの甘い会社」と見られ、評価や評判が落ちてしまいます。また昨今では、そうした評価や評判は短期間で広まり、インターネット上にいつまでも残ってしまいます。
Wi-Fiの通信における「暗号化」と「認証方式」
Wi-Fiには、通信内容を保護するセキュリティの仕組みが用意されています。それが通信内容の「暗号化」と「認証方式」です。この2つは組み合わせて使用しますが、Wi-Fiのルータには多くの場合、すでに複数の組み合わせが選択肢として用意されているはずです。
「暗号化」は、大きく3種類の方式があります。「WEP」「TKIP」「AES」です。
WEP(Wired Equivalent Privacy)は最も初期に登場した方式です。有線と同等のセキュリティを実現できると期待されましたが、今では簡単に解読されてしまいます。最新の機器では採用されていません。
TKIP(Temporal Key Integrity Protocol)は、WEPの欠点を改良した方式です。暗号化に用いる「暗号化キー」を一定の送受信回数や時間で自動的に切り替え、WEPよりも安全な通信を実現しました。
AES(Advanced Encryption Standard)は、現状、もっとも安全な暗号化方式です。CCMP(Counter mode with CBC-MAC Protocol)とも呼ばれます。Wi-Fiルータのセキュリティを設定する際には、基本的にAESを使用します。古い端末があり、AESに対応していない場合は、TKIPを用います。WEPにしか対応していない機器がある場合は、機器の更新を検討した方がよいでしょう。
認証方式にも、WEP、WPA、WPA2、WPA3の種類があります。ただしWEPは暗号化方式のWEPと一体になった方式で今は基本的には使用しません。WPAとWPA2は、ほぼ同じと考えて差し支えありません。WPA3は最も新しい方式です。
WPAとWPA2は、暗号化方式のTKIP、AESのどちらかと組み合わせて使用します。WPA3はAESのみサポートしています。つまり、Wi-Fiルータのセキュリティ設定は、認証方式と暗号化方式の組み合わせで、「WEP」「WPA(TKIP)」「WPA(AES)」「WPA2(TKIP)」「WPA2(AES)」「WPA3」の6パターンが存在することになりますが、前述したように、WEPは今はほぼ使われていません。TKIPもAESと比べると、安全性が劣ります。
ルータに接続する端末が対応していることが前提になりますが、現状では可能な限り「WPA3」を選択し、難しい場合は「WPA2(AES)」あるいは「WPA2(AES)」を選ぶようにします。
さらに、認証方式のWPA/WPA2/WPA3は、家庭や小規模ユーザ向けの「パーソナル」と、企業などの大規模ユーザ向けの「エンタープライズ」にわかれています。前述したように、Wi-Fiのセキュリティの仕様は、認証方式と暗号化方式でいくつかの組み合わせがありますが、認証方式の最新仕様は「WPA3」で、そのWPA3も「WPA3-Personal(WPA3パーソナル)」と「WPA3-Enterprise(WPA3エンタープライズ)」にわかれています。この2つの大きな違いは、パスワードの設定方法です。
パーソナルでは、あらかじめ設定された1つのパスワードを全ユーザが共有して使います。事前に共有されたパスワードを使うという意味から「PSK(Pre-Shared Key/事前共有鍵)方式と呼ばれます。簡単に言えば、1つの鍵を全員で使い回します。
一方、エンタープライズでは「認証サーバ」を設置して、ユーザ一人ひとりを認証します。ユーザ一人ひとりが違う鍵を使っているわけです。
オフィスでWi-Fiを使うときに、数十人で同じパスワードを使うケースと、ユーザ一人ひとりを認証する仕組み(認証サーバ)を導入するケースで、どちらがセキュリティにおいて優れているかは言うまでもありません。
暗号化方式の種類と選び方は?
AES方式
AESは「Advanced Encryption Standard」の頭文字で、日本語に訳すと「先進的暗号化標準」です。NIST(アメリカ国立標準技術研究所)が公募、採用した方式で、現状もっとも安全な暗号化方式とされています。CCMP(Counter mode with CBC-MAC Protocol)とも呼ばれます。
TKIP方式
TKIPは「Temporal Key Integrity Protocol」の略で、当初、暗号化方式として使われていたWEPの欠点を改良した方式です。暗号化に用いる「暗号化キー」を一定の送受信回数や時間で自動的に切り替え、WEPよりも安全な通信を実現しました。
WEP方式
WEP(Wired Equivalent Privacy)は最も初期に登場した暗号化方式です。有線接続と同等のセキュリティを実現できると期待されたことが、その名称の由来ですが、今では簡単に解読されてしまいます。最新の機器では採用されていません。
選び方
暗号化方式は、認証方式も合わせて、最新のものを使うようにします。つまり現状なら、暗号化方式は「AES」を、認証方式は「WPA3」を選択します(WPA3は、暗号化方式がAESになっているので、認証方式としてWPA3を選べば、暗号化方式は自動的にAESになります)。
Wi-Fiルータが最新規格に対応していても、子機が対応していない場合は、できる限り、セキュリティの強度が高い方式を選びます。つまり、WPA3 > WPA2(AES) > WPA(AES) > WAP2(TKIP) > WPA(TKIP) となりますが、現状ではセキュリティを考えたときには、AESに対応していない機器は更新を考えたほうがよいでしょう。
確認したほうが良いルータの設定
Wi-Fiルータのセキュリティを強化・維持するために、以下の設定を確認しておきましょう。
設定①IDとパスワードを変更
Wi-FiルータのID・パスワードは必ず変更します。メーカや機種によってはすべて同じものが設定されていることがあり、そのままにしておくと、悪意を持った第三者がWi−Fiルータにログインして設定を変更し、社内ネットワークに侵入するような事態も考えられます。
設定②SSIDを変更
SSIDは簡単に言えば、Wi-Fiルータの名前です。初期設定では、メーカ名や機種名が使われていることがありますが、メーカや機種が特定されると狙われる危険性は高くなります。ID、パスワードと同様にSSIDも変更します。
ただし、変更する際に「3F-Keiri」「KeieiKikaku」など部署や社名などが類推できる名称は設定しないようにしましょう。
設定③SSIDのステルス機能を利用
SSIDのステルス機能は、Wi-FiルータがSSIDを利用者に知らせるために出している信号を止める機能です。SSIDを表示しないようにすることで、第三者が不正に利用することを防ぎます。
設定④接続端末の確認
Wi-Fiルータに接続している端末を確認します。仮に、社員など正規の利用者以外が接続していた場合は、ルータのIDとパスワード、SSID、暗号化キーを変更し、不正な利用者が接続できないようにします。
設定⑤ファームウェアのアップデート
ルータのファームウェアは常に最新版にアップデートします。古いファームウェアのままだと脆弱性をつかれ、不正アクセスなどを許してしまうことにつながります。
設定⑥サポート期限を確認
問題なく使えているからといって、古いWi-Fiルータを使い続けることは危険です。新しい暗号化方式への対応が不十分だったり、ファームウェアのアップデートが行われなくなります。サポート期限の切れる前に、定期的に更新するようにしましょう。
オフィス向けルータセキュリティに関するお問い合わせはこちら
パナソニックEWネットワークスは、オフィス・学校・工場などお客様環境やニーズに合わせ、機器選定-構築-工事-保守に至るまでトータルでサポート。セキュアで安定したWi-Fi環境の構築を行います。オフィスや工場、病院におけるWi-Fiセキュリティ、Wi-Fi構築に関するお問い合わせはこちら。
関連情報はこちら
よくあるご質問
- 無線LANの見積依頼をしたい
- お気軽にご相談ください。ネットワーク構成と図面を事前にご用意のうえご相談といただくとスムーズです。
- 環境調査・サーベイはお願いできますか?
- はい。調査範囲はご相談ください。
- 他社が入れている無線LANのサーベイはできますか。
- 内容によりますので、調査内容はご相談ください。
Wi-Fiルータの設定は定期的に確認
Wi-Fiはオフィスや外出先での利用が当たり前になり、今はビジネスに欠かせないインフラになっています。ですが、常に世界中に広がるインターネットからの危険にさらされてもいます。日々、問題なく使えていると忘れがちになりますが、Wi-Fiルータの設定は定期的に確認することをおすすめします。