フリーアドレス化が進むオフィスでは、無線LANは必須アイテム。そんな無線LAN機器を使う際の“設定すべきポイント”を解説します。最新ファームウェアの重要性や最新のセキュリティ設定の中身を知っておくことでオフィスのセキュリティをより高められます。

さあ、オフィスにWi-Fi（無線LAN）ルーターを設置しよう

一昔前までは社内ネットワークといえば、速くて接続の安定している有線LANばかりでした。しかしながら、フリーアドレスの導入など働く環境も変化し、人・端末の移動が当たり前となる中、それに追従するように無線ネットワーク技術も向上し、スマホやタブレットなどが普及した2019年では、Wi-Fi環境がオフィスには必須とされています。
特に立ち上がったばかりのベンチャーやしばらくの仮住まいと割り切って利用しているオフィスであればこそ、ケーブル敷設が不要なWi-Fiはメリットとなるでしょう。
「さあ、我が社もWi-Fiを導入するぞ！」とオフィスにWi-Fiルーターを設置することになったとき、もちろん機器付属のマニュアル通りに設定をすればよいのですが、マニュアル外の“セキュリティのコツ”というものもあるのです。そこで、情シスが知っておくべきWi-Fiルーターのセキュリティ設定について解説します。

 

おさえておくべき5つの項目

1. まずはファームウェアの更新から

Wi-Fiルーターを配置し、ONUから配線を引っ張って・・・さあ設定を始めよう！というその前に。必ずWi-Fiルーターのファームウェアの更新を行いましょう。
ファームウェアとは、Wi-Fiルーターの制御を行うためのソフトウェアで、ルーター内に組み込まれています。このファームウェアは古くなるとその他のソフトウェアと同じく脆弱性が発見される恐れがあります。そのため、常に最新のファームウェアを使うように心がけましょう。ファームウェアの最新版はWi-Fiルーター製造元のHPから入手できますし、初期設定中の管理コンソールから行える場合もあります。（詳細は機種毎の取扱説明書をご確認ください。）

二回目以降のファームウェアの更新は、更新忘れがなく手間のかからない自動更新の設定をしておくことがお勧めです。なお、更新作業に時間がかかったり通信が一時的に切断されたりすることがあるので、更新時間は業務に影響のない時間帯を選ぶとよいでしょう。

 

2. デフォルト設定を見直す

ここからは、設定に関してセキュリティ面でのポイントを見ていきます。

管理者パスワードは必ず変更する

Wi-Fiルーターの管理者パスワードは、必ず初期設定から変更するようにしましょう。初期パスワードのままにしておいては、もしも悪意ある者がアクセスしてきたときに、好き勝手な操作を許してしまいます。
また、当然ながら予測されにくいパスワードを設定しましょう。忘れないようにと「admin○○」などとするのはもっての外です。一般的なパスワードと同じように、文字と数字を組み合わせて作った短すぎない文字列が安全です。

WEPは使わない　～通信暗号化方式を知っておこう～

無線LANの通信暗号化方式には以下のような種類があります。
・WEP（Wired Equivalent Privacy）
最初にユーザー設定された鍵を固定で使い続ける方式。古くからある方式であり、固定鍵であるため第三者に解読されてしまう恐れがある。
・TKIP（Temporal Key Integrity）
鍵は固定ではなく、一定の送受信回数が行われたときに更新される。またクライアント端末のMACアドレスなども使用して一時キーを作成するため、WEPよりも解読されにくい方式となっているが、主流ではなくなっている。
・AES（Advanced Encryption Standard）
鍵をアクセスポイントとクライアント間で交換し、鍵を自動的に更新し続けることができる。現時点で最もセキュリティ強度が高い方式。

固定鍵を使用しているWEP方式はセキュリティ的には弱いため、使わないようにします。

【Tips!】
マルチSSIDという、仮想的に2つのアクセスポイント名（プライマリSSID/セカンダリSSID）を持ちそれぞれに異なる暗号化方式を設定して混在利用することが可能な機能がありますが、そのセカンダリSSIDの方もWEPとなっていないか見落とさずに確認しましょう。

 

3. セキュリティ規格は最新のものを設定

無線LANの暗号化通信は、前の章で説明した暗号化方式を包括したWPA／WPA2／WPA3という規格がWi-Fi Allianceの認定によって定められています。これらの規格には、クライアント端末ごとに事前共有鍵（PSK：Pre-Shared Key）を設定して利用する個人向け「Personal」モードと、認証サーバーを使って端末ごとに鍵を発行して利用する企業向けの「Enterprise」モードの2つがあります。

・WPA
暗号化方式にTKIP方式を採用している。これ以前はWEPの規格が主流だったが、その脆弱性が指摘されていたためにWEPに代わる規格として2002年に登場した。
・WPA2
暗号化方式にAESを主に採用している。鍵長など暗号の強度や通信速度がWPAよりも改善されている。2004年に登場した規格。
・WPA3
2018年に発表された新しい規格。暗号化方式はAESを採用し、WPA2の脆弱性対応やパスワード破りに対する機能が強化されている。

こうしたセキュリティ設定は、現在はWPA2が主流となっています。WPA3はまだ登場したばかりで対応機器は少ないのが現状です。セキュリティ強度はWPA＜WPA2＜WPA3となっています。
前章の暗号化方式では、セキュリティ強度はWEP＜TKIP＜AESとなります。
設定できる中で最新の方式を選択するようにしましょう。

なお、WPA3にはBuffaloの「WAPM-2133TR」「WAPM-1266R」「WAPM-1266WDPR」「WAPS-1266」、Synologyの「MR2200ac」などが既に対応しています。

 

4. SSIDはネットワークの区別がつきやすい名前に

SSIDは、そのアクセスポイントにつける固有の名前で、接続時に端末からネットワークを検索するときに使います。そのため、一見して識別がしやすい名前がよいでしょう。
「default」や「wireless」などの名前はよく使われがちなので、オフィスのネットワークには使わないほうが賢明かも知れません。他と重複すると端末からネットワークに自動接続できなくなったりしてしまいます。また、近くにある他のアクセスポイントと間違って接続してしまう恐れがあり、オフィスのセキュリティを守れません。

SSIDステルス設定は？

「ステルス設定」と言って、SSIDをクライアント端末側で表示されなくすることができる機能があります。この設定では、端末側で“検出されたネットワーク”の一覧にSSIDを表示できなくなり、社内ユーザーはSSIDを直接入力して接続します。
これにより第三者へのSSID公開を避けることができますが、秘匿されたSSIDを見破る方法がすでに確立されていて、実はこの設定自体はセキュリティ強度があまり高いとはいえないのが実情です。ですので、見えないからと言ってこれだけに頼らず、その他のセキュリティ設定と併用する必要があります。

 

5. 故障に備えて設定のバックアップをとる

以上のようなポイントを押さえてより安全な設定を行いましょう。そして、こうした設定は、変更するたびにバックアップを取っておきます。また、運用に入った後は、ファームウェアの更新前にも忘れずにバックアップを取るようにしましょう。
Wi-Fiルーターの設定は日時やバージョンをわかるようにしてファイルとして保存しておくと良いかも知れません。故障したときなど、初期状態の機器にアップロードすれば同じ設定となるので素早く復旧できます。但し、この場合は型番などが異なるとファイルが使えない場合があるので注意が必要です。

5つのポイントを忘れずに、さぁ、Wi-Fi機器をセットアップしてみましょう。

 

【執筆：編集Gp　星野 美緒】