Wi-Fiセキュリティを強化する方法（社内/来客用の分離と暗号化）

なぜ今、Wi-Fiセキュリティが重要なのか（「便利」の裏にある現実）

社内Wi-Fiは、PCだけでなくスマホ、タブレット、会議室のディスプレイ、プリンタ、監視カメラ、さらには来客の端末までつながる「社内ネットワークの入口」になっています。つまりWi-Fiの設計が甘いと、1台の端末をきっかけに社内システムへ横展開される可能性が出てきます。

「うちは中小企業だから狙われない」と思われがちですが、攻撃者の多くは“狙い撃ち”ではなく“自動スキャン”です。暗号化が弱い・初期設定のまま・ゲストと社内が同じネットワーク、といった条件は機械的に見つかります。被害は情報漏えいだけではありません。業務停止（ランサムウェア）、顧客への連絡・補償、取引先からの信頼低下、そして復旧にかかる外注費と残業が積み上がります。

またWi-Fiは「オフィスの境界」も曖昧にします。電波は壁を通り、駐車場や隣のフロアまで届くことがあります。オフィスに入らずとも、近くにいるだけで攻撃の試行が可能です。さらに近年は、テレワーク端末の持ち込みや、BYOD（私物端末）利用が増え、ネットワーク管理の難易度が上がっています。

本記事では、専門知識がなくても判断できるように、Wi-Fiセキュリティを「社内用と来客用の分離」と「暗号化（安全な認証方式）」を軸に、導入から運用までを実務目線で整理します。ネットワーク機器のメーカーや構成に関わらず、考え方は共通です。

最優先は「社内用」と「来客用（ゲスト）」を分離すること

Wi-Fiの対策で最も費用対効果が高いのが、社内用と来客用の分離です。理由は単純で、来客端末は会社が管理できず、感染している可能性を前提にしなければならないからです。ここが混ざっていると、来客が使った端末がプリンタやファイルサーバーに到達できる状態になり、“社内の内部ネットワーク”が外部に開放されたのと同じになります。

分離にはいくつかレベルがありますが、基本は次の2本立てにします。

• 社内SSID：社員・管理端末のみ接続。社内システムやプリンタ等へのアクセスを許可。
• ゲストSSID：来客・協力会社・個人端末用。インターネットのみ可（社内への通信は遮断）。

ここでよくある失敗が「SSIDは分けたが、ネットワーク（VLAN）やルールは同じ」になっているケースです。見た目は分かれても中身が同じだと分離の意味が薄れます。理想は、ゲスト用SSIDを別VLAN（別セグメント）に割り当て、社内への通信をファイアウォールやルーターで遮断する構成です。

中小企業でありがちな構成（ルーター1台＋市販AP）でも、機器が対応していれば「ゲストネットワーク」「ゲストポータル」「クライアント隔離」といった機能でかなりの水準まで実現できます。最低ラインとしては、ゲスト側で次を満たすのが目標です。

• 社内LAN（例：192.168.0.0/24 など）への到達を禁止
• ゲスト同士の通信も禁止（端末間通信の遮断）
• DNSは社内のものを使わせない（社内名解決の漏えい防止）

「来客にもプリンタを使わせたい」「会議室の機器に投影したい」といったニーズがある場合は、ゲストを社内に入れるのではなく、会議室機器側を“ゲストに公開できる仕組み”に寄せるのが安全です。例えば、画面投影は専用の投影機能（アプリ経由）に統一する、会議室機器だけを別セグメントに置き、必要ポートのみ開ける、といった発想です。例外を作るほど運用は崩れるので、最初に「例外が出にくい運用」へ寄せましょう。

暗号化と認証の基本：WPA3と「個人パスワード運用」から卒業する

Wi-Fiセキュリティのもう一つの柱が暗号化（通信を盗み見されにくくする）と認証（誰が接続してよいか決める）です。結論から言うと、可能な限りWPA3を優先し、難しい場合でもWPA2を適切に設定します。そして、社内SSIDの認証は「全員共通のパスワード」をできるだけ早く卒業するのが重要です。

よくある運用は「社内Wi-Fiのパスワードを1つ決めて全員に共有」です。この方法は簡単ですが、次の問題があります。

• 退職者・協力会社がパスワードを知ったままになる（回収できない）
• 漏えいしたとき、誰が漏らしたか追えない
• 漏えい対応が「全社一斉にパスワード変更」になり、現場が混乱する

対策として、社内SSIDは可能ならWPA2/WPA3-Enterprise（802.1X）を検討します。これは「社員ごとのID/パスワード（または証明書）」で接続する方式で、退職時はアカウント無効化で済みます。ログも取りやすく、監査・ガバナンスにも向きます。

「それは大企業向けで難しそう」と感じるかもしれませんが、最近は中小企業でも選択肢があります。社内のAD（Active Directory）やクラウドID（Microsoft Entra IDなど）と連携し、RADIUS（認証サーバー）を用意する構成が典型です。自前運用が難しければ、管理画面から設定できるクラウド管理型Wi-Fiや、認証基盤を含むサービスを選ぶと導入が早まります。

どうしてもEnterprise方式が難しい場合でも、最低限の工夫でリスクを下げられます。

• 社内SSIDのPSKを強固に：推測されにくい長い文字列（20文字以上）を推奨
• 定期的な変更：半年〜1年に1回、異動・退職が多いなら四半期
• 共有範囲の統制：パスワードの掲示禁止、口頭共有のルール化

暗号化方式としては、WEPは論外、WPA（TKIP）も避けるべきです。古い機器が混ざると弱い方式に引っ張られることがあるため、「古い端末のために暗号化を下げる」のではなく、端末を更新するか、古い端末だけを隔離ネットワークに入れるのが基本方針です。

社内ネットワークを守る設計：VLAN、ファイアウォール、端末間通信の遮断

SSID分離と暗号化に加えて、ネットワーク側でも「万一つながってしまっても被害を広げない」設計が重要です。ここで役立つのがVLAN（ネットワークの論理的な区画）とアクセス制御です。専門用語に見えますが、やっていることは「フロアを分けて、入っていい部屋を制限する」イメージです。

おすすめの区画例は次のとおりです。

• 社内ユーザー端末VLAN：業務PC・社給スマホ
• サーバー/基幹VLAN：ファイルサーバー、業務システム、NAS
• プリンタ/IoT VLAＮ：複合機、監視カメラ、会議室機器
• ゲストVLAN：来客端末（インターネットのみ）

ポイントは、IoT機器（プリンタやカメラ等）を社内端末と同じ区画に置かないことです。IoTは更新が遅れがちで、管理画面が弱いパスワードのまま運用されやすい領域です。ここを分けるだけで、侵入後の横展開を大きく抑えられます。

次にアクセス制御（ファイアウォール/ACL）の考え方です。ルールは「必要な通信だけ許可、その他は拒否」が原則です。例としては以下です。

• ゲストVLAN → 社内VLAN：すべて拒否
• 社内端末VLAN → サーバーVLAN：必要なポートのみ許可（例：HTTPS、業務アプリ）
• IoT VLAN → 社内端末VLAN：原則拒否（印刷のために必要な通信だけ許可）

さらに、無線側で有効にしたいのが「端末間通信の遮断（Client Isolation）」です。社内SSIDでも、部署フロアや用途により端末同士の通信が不要なら遮断した方が安全です。同じWi-Fiにつながっている＝互いに見える状態を放置すると、マルウェアが広がりやすくなります。

最後に「管理ネットワーク」を別にする発想も重要です。アクセスポイントやスイッチ、ルーターの管理画面に一般端末からアクセスできると、パスワード漏えい時に設定を書き換えられるリスクが上がります。管理画面は管理者端末からのみ到達可能、可能ならVPN経由、という形に寄せると堅牢になります。

導入手順（チェックリスト付き）：現状把握→分離→暗号化→運用

「何から手を付ければいいか分からない」方向けに、実務の手順をチェックリストで整理します。いきなり機器を買い替える前に、現状の棚卸しが最も効きます。現状が見えないままの対策は、穴を残したままになりやすいためです。

現状が分かったら、次は分離です。可能ならVLANで分け、難しければ少なくともゲストネットワーク機能で「社内へは行けない」を実現します。並行して、ゲストSSIDには利用規約ページ（簡易でOK）や、有効期限付きパスワード発行の仕組みがあると運用が整います。

次に暗号化・認証を固めます。新規導入や更新ならWPA3を優先し、社内SSIDはEnterprise方式（802.1X）を検討します。ここでの判断基準は「人の出入りが多いか」「拠点が複数か」「監査対応が必要か」です。該当するなら、共通パスワード運用はコストが高くつきます（変更作業や事故対応が積み上がるため）。

最後に運用です。Wi-Fiは入れた瞬間がピークで、放置すると弱くなります。運用で最低限決めたいのは以下です。

• 更新ルール：四半期または半年ごとのファームウェア確認日を決める
• 権限管理：管理画面のIDは個人別、共有IDは禁止
• ログ：接続ログを一定期間保存（障害・不正調査に有用）
• 例外申請：「この端末だけ社内に入れたい」を申請制にする

加えて、社内向けには短い周知が効きます。「ゲストWi-Fiのパスワードを社外に転送しない」「社内SSIDを私物端末で使わない（方針次第）」「怪しいSSIDに接続しない」など、業務の言葉でルール化しましょう。技術だけでなく、日々の行動がセキュリティを作ります。

よくある落とし穴と、現場で起きがちなトラブルの潰し方

Wi-Fiセキュリティは、正しい方針でも「現場の便利さ」と衝突して崩れがちです。ここでは実際によくある落とし穴と対処の考え方をまとめます。

ゲスト用SSIDが結局“社内用”になっていく

「来客が多いから」「設定が簡単だから」と、社員がゲストSSIDを使い始めると、ゲストの分離が意味を失います。対策は、社内SSIDを使いやすくする（接続が安定、認証が簡単、端末配布が整っている）ことと、ゲストSSID側を業務に不向きにする（社内DNS不可、社内アクセス不可、帯域制限など）ことです。運用で勝手に混ざらない設計が肝です。

古い端末のために暗号化を弱くする

「この古いプリンタがWPA3に対応していない」といった理由で全体を弱い設定にすると、全社員の通信がその弱点を背負います。対策は2択です。端末更新するか、古い端末だけ別SSID/別VLANへ隔離し、必要な通信だけ許可します。全体最適を崩さない判断が重要です。

機器の管理画面がインターネットから見えている

まれに、ルーターの設定で管理画面が外部公開されていたり、遠隔管理が有効なままになっていたりします。これは重大事故につながります。対策は「外部からの管理は原則OFF」「どうしても必要ならVPN経由」「管理者アカウントの多要素認証（可能なら）」です。パスワードも使い回しを避け、管理者権限は最小限の人数に絞ります。

アクセスポイントが増え、設定がバラバラになる

拠点増設やフロア拡張でAPが増えると、「Aのフロアだけ暗号化が古い」「ゲスト隔離が効いていない」などが起きます。対策は、設定テンプレート化と集中管理です。クラウド管理型やコントローラー方式を採用すると、設定の一貫性と更新が楽になります。台数が増えるほど、管理の仕組みがセキュリティになると考えてください。

障害対応のために一時的に緩めた設定が戻らない

「一旦WPA2に落とす」「隔離を外す」など、復旧のための応急処置が恒久化しがちです。対策は、変更手順に“戻す日付”を必ず入れ、チケットやカレンダーで管理することです。応急処置は悪ではありませんが、放置が問題になります。

まとめ

Wi-Fiセキュリティ強化は、特別な技術よりも「分離」と「暗号化（認証）」を正しく選び、運用で崩れないようにすることが要点です。まずは社内用と来客用をネットワークレベルで分離し、ゲストから社内へ到達できない状態を作るだけでリスクは大きく下がります。その上で、可能ならWPA3や802.1X（Enterprise）を採用し、共通パスワード運用の弱点（退職者対応・漏えい時の全社変更）から脱却しましょう。

加えて、VLANや端末間通信の遮断、IoT機器の隔離、管理画面の保護、ログと更新ルールといった「仕組み化」を進めると、担当者が詳しくなくても安全が維持できます。Wi-Fiは一度整えると、日々の業務を止めずにセキュリティ水準を底上げできる領域です。できるところから優先順位をつけて進めてください。