今押さえておくべき、セキュリティマナーを学ぶ本連載。今さら聞きづらい、けれど知っておかなければならないアレコレを質問していきます。今回は、無線LAN、外出先のWi-Fiの注意点。知っていて当然!と思いきや、ここにも意外な落とし穴がありました。ルーターのサポート期間は?自宅でのネットワーク接続は「パブリック」「プライベート」どっち?有名企業名に模した「なりすましアクセスポイント」が存在する?一つでも気になった方は、必見です。
今回の疑問
・暗号化されていない「公衆無線LAN」ってどうなんでしょう?
・以前、パスワードなしのアクセスポイントに接続してしまいました…。削除方法を教えてください
・取引先での暗号化されたWi-Fiは、安全ですよね?
・「ネットワークプロファイル」とは?自宅は「パブリック」と「プライベート」どっち?
・家族と住んでいますが、情報漏えいの注意点は?
・ネットワークの安全性確保はどうすれば良いの?
・最も安全性が高いデータ通信を確保する方法
橋本 和則 さん
Microsoft MVP(Windows and Devices for IT)を16年連続受賞。IT著書は80冊以上、ベストセラー&ランキングトップ書籍多数。『Outlook 2021 やさしい教科書[Office 2021/Microsoft 365対応]』(SBクリエイティブ)『IT担当者のためのテレワーク時代のセキュリティ対策 安全な業務環境の構築からデータを守る方法まで』(翔泳社)など。IT機器の使いこなしやWindows OSの操作、カスタマイズ、ネットワークなどをわかりやすく個性的に解説した著書が多い。震災復興支援として自著書籍をPDFで公開。Windows関連Webサイトの運営のほか、講演・講義、著者育成など多彩に展開している。
Q. 暗号化されていない「公衆無線LAN」ってどうなんでしょう?
お店などで提供される「暗号化されていないWi-Fi(無線LANアクセスポイント)」は仕事では利用しないことが大前提になります。暗号化されていない無線LANアクセスポイントへの接続は通信内容が傍受可能であるため、データ漏えいの危険性があるからです。
なお、最近のWebはSSL(Secure Socket Layer)による暗号化が施されているため(URLが「https://」で始まる)、理論的にはWebとの通信データは暗号化されているという意味で安全ですが、一部のSSL化していないWeb(URLの先頭が「http://」のもの)・FTP・任意導入アプリなどの通信は暗号化されているとは限らないことを考えても、やはりWi-Fiも暗号化されていることがセキュリティ対策として求められます。
また、公衆無線LANのアクセスポイントの中には、有名企業名や店名に模した「なりすましアクセスポイント」が存在し、悪意を持ったアクセスポイントに接続してしまうと、フィッシング(個人情報やアカウントなどの詐取)への誘導やパソコンへの直接攻撃を仕掛けてくるものもあります。
このような意味でも、やはり仕事で利用するパソコンは「Wi-Fi接続パスワードが求められる暗号化されているアクセスポイントに接続する」ことが通信全般の安全性の確保になるのです。
▼暗号化されていない通信
暗号化されていないアクセスポイントにはWi-Fiアイコンにカギマークがない。Wi-Fi接続パスワードなしで利用できるアクセスポイントは、セキュリティとして安全性を確保できない。
Q. 以前、パスワードなしのアクセスポイントに接続してしまいました…。削除方法を教えてください
今までにWi-Fi接続パスワードなし・暗号化されていないなどの、不安の残る無線LANアクセスポイントに接続した履歴がある場合には、接続時の設定により、範囲内に入ると自動的に接続(通信)してしまう可能性があります(Wi-Fi接続時に「自動的に接続」をチェックした場合)。
今後のWi-Fi接続における安全性を確保するためには「安全性が低いアクセスポイント」「現在利用していないアクセスポイント」「不明なアクセスポイント」などのパソコンに保存されているWi-Fi接続設定をすべて削除する必要があります。
▼不明・利用していないWi-Fi接続設定の削除方法
「設定」−「ネットワークとインターネット」−「Wi-Fi」を選択して、「既知のネットワークの管理」をクリック。
登録済みのWi-Fi接続設定(無線LANアクセスポイント)の一覧が確認できる。現在利用していないアクセスポイント(Wi-Fi接続設定)を消去するには、対象アクセスポイントの「削除」をクリックする。
Q. 取引先での暗号化されたWi-Fiは、安全ですよね?
取引先などで提供されるWi-Fiを利用する場合には、必ず暗号化されていることを確認してからWi-Fi接続を行います(Wi-Fiアイコンにカギマークが存在し、かつWi-Fi接続パスワード入力がある)。
また、接続後にパソコンへの共有を許可しないために、ネットワークプロファイルが「パブリック」であることを確認するといいでしょう(次項参照)。
なお、取引先そのものが信用できても、無線LANを含めたネットワーク環境が適切かつセキュアに管理されているとは限りません。当該環境のセキュリティに不安を感じる場合には、Wi-Fi接続は行わないようにします。
Q.「ネットワークプロファイル」とは?自宅は「パブリック」と「プライベート」どっち?
PCのネットワーク利用環境を指定する「ネットワークプロファイル」には、自身のパソコンの共有リソースにアクセスを許可する「プライベート」と、自身のパソコンをネットワーク上に公開せずにアクセスを拒否する「パブリック」が存在します。
現在の接続におけるネットワークプロファイルは「設定」−「ネットワークとインターネット」で確認することができます。Wi-Fi接続においてネットワークプロファイルは無線LANアクセスポイントごとに設定することが可能ですが、自宅であっても、自身のパソコンを共有許可しない「パブリック」であることが推奨されます。
なお、現在接続しているネットワークの「プロパティ」をクリックすることでネットワークプロファイルの変更や、接続の詳細を確認することができます。
▼ネットワークのプロパティの確認。「パブリック ネットワーク」に設定する方法
「設定」−「ネットワークとインターネット」と選択。現在接続しているネットワークの「プロパティ」をクリック。ネットワークプロファイルの変更を行うことができる。
Wi-Fi接続であれば「セキュリティの種類」で認証方式を確認できる。Wi-Fi接続においては「セキュリティの種類」に着目して、WPA2以上であることを確認する。なお、WPAであっても暗号化が簡単に破られることはないが、「無線LANを含めたネットワーク環境が古い可能性がある」「設定が適切ではない可能性がある」という意味でセキュアとは言い切れない。
Q. 家族と住んでいますが、情報漏えいの注意点は?
自宅でのテレワークでは、パソコン単体のセキュリティ対策のほか、ルーターや無線LANを任意に導入している場合には、ネットワーク全般のセキュリティ対策を講じる必要があります(次項参照)。
また、家族であっても「業務利用のパソコンには絶対に触れさせない」ことも大切です。不在時に家族がパソコンに触れたことでマルウェアに感染して情報漏えいした事例があることからも、業務に利用するパソコンはシェアせず作業時の操作や画面も見せない(見られない)ことが大切になります。
会社などの組織に属して仕事をしている場合には、セキュリティ問題が起こった際の連絡先の確認、また実際に問題が起こった際にどのような対処が必要かを、あらかじめ社内で共有しておくことも大切になります。
Q. ネットワークの安全性確保はどうすれば良いの?
一般的に無線LANルーターの各モデルはサポート期限が明示されていないことが多いのですが、目安としては「定期的に新しいファームウェアが更新されている(公開されている)」ことと、設定として最新ファームウェアが自動適用になっていることが大切です。
また、無線LANアクセスポイント設定においては、SSID・認証方式・暗号化キーなどの設定が必要ですが、SSID(アクセスポイント名)に対して認証方式は「WPA3〜」か「WPA2〜」、またWPA暗号化方式は暗号強度が高い「AES」を選択したうえで、暗号化キー(セキュリティキー・Wi-Fi接続パスワード)は複雑かつ他者が類推できないものにすることが、セキュリティ対策として必要になります。
無線LANルーターに接続する機器は、ローカルエリアネットワークに参加していることになり相互に通信することが可能です。このため、セキュリティが低いレガシーデバイス(サポートが終了している古いパソコン・NAS・ネットワークカメラ)や、情報送信先が不明な信頼性がないメーカーのネットワークデバイスなどは利用しないこともセキュリティ対策として求められます。
必要に応じてローカルエリアネットワークへの参加を許さない「ネットワーク分離」を適用して、業務利用のパソコンとその他の家電製品・スマートフォン・家族の利用するネットワーク機器とネットワークを分離して隔離する(共有できないようにする)ことも大切です。
▼ファームウェアの継続的なアップデート
無線LANルーター本体に適切に最新ファームウェアが適用されていることを確認。なお、パソコンのセキュリティアップデートのほか、ネットワークに接続している機器全般のセキュリティアップデートも重要だ。
▼無線LAN親機のアクセスポイント設定
無線LANの設定項目名や詳細はメーカー/モデルによって異なる。一般的に「2.4GHz帯」「5GHz帯」の双方に、固有の無線LANアクセスポイント(SSID・認証方式・暗号化キー)を設定する。
認証方式(パソコンから接続した場合における「セキュリティの種類」)は、「WPA3〜」あるいは「WPA2〜」がセキュリティ対策としては望ましい。なお、Wi-Fi接続機器(パソコンやスマートフォンなど)が最新の認証方式をサポートするとは限らないため、最終的には環境任意の設定になる。
▼ネットワーク分離の設定
ネットワーク分離の設定項目名や詳細もメーカー/モデルによって異なる。この無線LANルーターでは、「ネットワーク分離機能」をチェックすることで該当アクセスポイントを隔離できる(該当アクセスポイントは、ローカルエリアネットワーク内の機器と通信不可になる)。
コラム:最も安全性が高いデータ通信を確保する方法
各シーンでの通信において安全性を確保したい場合、最も有効な手段が「パソコン用にデータ通信を確保する」ことです。
パソコン用のデータ通信手段には、主に「パソコン内蔵のSIM/eSIM」「モバイルルーター」「スマートフォンのテザリング」などがあります。
公衆・他者・他社・ファームウェア更新が不明などの無線LANアクセスポイントに接続しないで済むためのセキュアです。また、自宅でのテレワークにおいても家族・ゲスト・不明な機器などの通信とは完全に別回線になるという意味でも、安全な通信確保の手段として非常に有効です。なお、下記手段はどれもアップロードは速くない点には注意します。
・・・
今使用しているパソコンやスマートフォンだけでなく、ネットワークに接続している機器全般のアップデートが必須。使用していないにも関わらず、接続され続けているスマート家電やタブレットはありませんか?まずは、それらを見直していきましょう。次回は、パスワードの管理について。定期的な変更こそが情報漏えいに繋がるって本当でしょうか。これらの内容を質問していきたいと思います。お楽しみに。
▼これまでの「今さら聞けないセキュリティマナー」
・OSのセキュリティはどう確保する?
・アンチウイルスとセキュリティ全般を確認するには?
・日常の情報漏えい&マルウェア対策を徹底するには?
