店舗、事務所、クリニック、士業事務所、学習塾、コワーキングスペースなどでは、来客向けにWi-Fiを提供していることがあります。
「お客様に便利だから」
「打ち合わせ中に使ってもらうため」
「待合室でスマートフォンを使えるようにするため」
このような理由で来客用Wi-Fiを用意すること自体は、珍しいことではありません。
ただし、ここで注意したいのは、来客用Wi-Fiと社内Wi-Fiを同じネットワークにしないことです。
もし来客用Wi-Fiが社内ネットワークとつながっていると、来客の端末、業者の端末、マルウェアに感染した端末、古いスマートフォンなどが、社内のパソコン、NAS、複合機、会計PC、POSレジ、監視カメラ、業務システムと同じネットワークに入ってしまう可能性があります。
Wi-Fiは便利な反面、設定や管理が不十分だと、通信内容の漏えいや不正アクセスにつながるおそれがあります。総務省の「公衆Wi-Fi提供者向け セキュリティ対策の手引き」も、Wi-Fiを提供する施設等に対して、安全なWi-Fi提供のために必要なセキュリティ対策を理解してもらうことを目的としています。
この記事では、中小企業や小規模事業者が確認したい、ゲストWi-Fiと社内Wi-Fiの分け方を整理します。
危険なのは「同じパスワードを全員に教える」運用
まず避けたいのは、社内で使っているWi-Fiのパスワードを、そのまま来客にも教えてしまう運用です。
たとえば、次のような状態です。
- 社員用Wi-Fiのパスワードを来客にも教えている
- 打ち合わせのたびに社内Wi-Fiへ接続してもらっている
- 店内掲示のWi-Fiパスワードが社内Wi-Fiと同じ
- 退職者、元アルバイト、外部業者が社内Wi-Fiのパスワードを知っている
- パスワードを何年も変更していない
- ルーターの管理画面パスワードが初期設定のまま
この状態では、Wi-Fiのパスワードを知っている人が増えるほど、社内ネットワークへ入れる人も増えてしまいます。
Wi-Fiのパスワードは、単なる「インターネット接続用の合言葉」ではありません。
設定によっては、社内のファイル共有、複合機、NAS、業務端末へ近づくための入口になります。
来客にWi-Fiを提供する場合は、社内用と来客用を分けることを基本にしましょう。
1. まずSSIDを分ける
最初に確認したいのは、SSIDです。
SSIDとは、スマートフォンやパソコンでWi-Fiを選ぶときに表示されるネットワーク名です。
たとえば、次のように分けます。
| 用途 | SSID例 |
|---|---|
| 社員用 | Company-Staff |
| 来客用 | Company-Guest |
| 業務機器用 | Company-Device |
ここで大切なのは、名前を分けるだけで安心しないことです。
SSIDが2つ見えていても、内部では同じネットワークにつながっている場合があります。
その場合、来客用SSIDに接続した端末から、社内のパソコンや複合機、NASが見えてしまう可能性があります。
そのため、SSIDを分けたうえで、次に説明するネットワーク分離ができているかを確認する必要があります。
2. 「名前が違う」だけでなく、ネットワークを分ける
ゲストWi-Fiで重要なのは、SSIDの名前を変えることではなく、来客端末から社内機器へアクセスできない状態にすることです。
カナダのサイバーセキュリティセンターは、ゲストネットワークについて、インターネットへのアクセスを提供する一方で、メインネットワークにはアクセスさせないものと説明しています。また、ゲストネットワークを安全にするには、通常の社内通信と分離されている必要があるとしています。
小規模な事務所であれば、ルーターに「ゲストネットワーク」「ゲストSSID」という機能が用意されている場合があります。
業務用のネットワーク機器を使っている場合は、VLAN、ファイアウォール、アクセス制御などで分離します。
確認したいポイントは次のとおりです。
- ゲストWi-Fiから社内PCにアクセスできない
- ゲストWi-FiからNASにアクセスできない
- ゲストWi-Fiから複合機の管理画面にアクセスできない
- ゲストWi-Fiからルーターの管理画面にアクセスできない
- ゲストWi-FiからPOSレジや会計PCにアクセスできない
- ゲストWi-Fiは原則としてインターネット利用だけに限定している
ルーターに「ゲストネットワーク」という項目がある場合でも、実際にどこまで分離されるかは機種や設定によって異なります。
不明な場合は、保守会社やITベンダーに「ゲストWi-Fiから社内LANに通信できない設定になっていますか」と具体的に確認しましょう。
3. 複合機、NAS、POS、会計PCを同じWi-Fiに置かない
中小企業で特に注意したいのが、社内機器の接続先です。
次のような機器が、来客用Wi-Fiと同じネットワークに入っていないか確認してください。
- 複合機、プリンタ
- NAS、ファイルサーバ
- 会計ソフトを使うパソコン
- POSレジ、決済端末
- 監視カメラ、ネットワークカメラ
- 勤怠管理端末
- 予約受付端末
- スマートロック、IoT機器
- 業務用タブレット
特に複合機やNASは、社内では「ただの機器」と見られがちですが、アドレス帳、スキャンデータ、共有フォルダ、契約書、見積書、顧客情報などを扱うことがあります。
来客端末からこれらの機器が見える状態は、望ましくありません。
業務機器は、社員用ネットワークまたは業務機器用ネットワークに接続し、来客用ネットワークからはアクセスできないようにしましょう。
カナダのサイバーセキュリティセンターも、ゲストWi-Fiを保護する対策として、VLAN設定によりゲストやゲストネットワーク上の機器がメインネットワークの機器・情報とやり取りできないようにすること、必要に応じてファイアウォールで制御することを挙げています。
4. 暗号化方式はWPA3、難しければWPA2以上を確認する
Wi-Fiでは、通信内容を第三者に読み取られにくくするため、適切な暗号化方式を使う必要があります。
警視庁は、WEPは容易に暗号解読されることが判明しており、WPAにも脆弱性があること、TKIP方式も比較的短時間で解読可能とされることを説明したうえで、暗号化方式はWPA3に設定することを勧めています。
実務上は、すべての端末がWPA3に対応していない場合もあります。
その場合でも、少なくともWPA2以上が使えるか、古いWEPやTKIPを使っていないかを確認しましょう。
確認したい項目は次のとおりです。
- WEPを使っていない
- WPAのみの古い設定になっていない
- TKIPではなくAESを使える設定か確認している
- 可能であればWPA3を有効化している
- 古い端末のために弱い暗号方式を残していない
- 社員用と来客用で異なるパスワードを使っている
「古い端末がつながらないから」という理由で、Wi-Fi全体の暗号化を弱くしてしまうのは避けるべきです。
古い端末を業務に使い続ける必要がある場合は、端末の更新、別ネットワークへの隔離、利用範囲の制限を検討しましょう。
5. ゲストWi-Fiのパスワードは社内用と別にする
ゲストWi-Fiを作っても、社員用Wi-Fiと同じパスワードを設定していては意味がありません。
来客用のパスワードは、社内用とは必ず別にします。
また、次のような運用も確認しましょう。
- パスワードを店内に常時掲示するか、必要な人にだけ伝えるか
- パスワードを定期的に変更するか
- イベントや説明会の後にパスワードを変更するか
- 退職者や元アルバイトが知っているパスワードを放置していないか
- 外部業者に一時的に教えたパスワードをそのまま使い続けていないか
ゲストWi-Fiの目的は、来客にインターネット接続を提供することです。
社内ファイルや業務システムへ接続させることではありません。
そのため、ゲストWi-Fiのパスワードは「来客用の使い捨てに近い情報」と考え、社内用のパスワードとは管理を分けることが重要です。
6. ルーターの管理画面を守る
Wi-Fiの安全性は、ルーターやアクセスポイントの管理にも左右されます。
次のような状態は危険です。
- 管理画面のパスワードが初期設定のまま
- 管理者IDとパスワードを複数人で共有している
- 退職者や前任ベンダーしか管理情報を知らない
- ファームウェアを更新していない
- サポート期限が切れた機器を使い続けている
- インターネット側から管理画面に入れる設定になっている
- 見覚えのないVPN、DDNS、ポート開放設定がある
国家サイバー統括室のコラムでは、Wi-Fiルーターの見直しポイントとして、ファームウェア更新、管理画面パスワードの変更、修理・サポート期限の確認、見覚えのない設定があった場合の初期化を挙げています。
また、NISCの家庭用無線LANルーターの設定・利用ページでも、ファームウェアを最新状態にすること、管理画面のパスワードを初期値ではなく複雑なものに変更することが示されています。
小規模事務所では、家庭用ルーターをそのまま業務に使っているケースもあります。
その場合でも、最低限、管理画面パスワード、ファームウェア更新、サポート期限、不要設定の有無は確認しましょう。
7. 「ゲストWi-Fiだから安全」と考えない
ゲストWi-Fiを分けることは重要ですが、それだけで完全に安全になるわけではありません。
ゲストWi-Fi側にも、次のようなリスクがあります。
- 来客端末同士で通信できてしまう
- マルウェア感染端末が接続する
- 長期間同じパスワードが使われ続ける
- 店舗外や事務所外からも電波が届く
- 不適切なサイト閲覧や迷惑行為に使われる
- 通信が混雑して業務用Wi-Fiに影響する
- 誰が使っているか全く分からない
可能であれば、ゲストWi-Fiでは端末同士の通信を遮断する「クライアント分離」「プライバシーセパレーター」などの機能を有効化します。
名称はメーカーによって異なります。
また、必要に応じて、利用時間、同時接続数、通信速度、利用可能エリアを制限します。
来客用Wi-Fiは「自由に何でも使えるネットワーク」ではなく、来客がインターネットを利用するための限定されたネットワークとして設計することが大切です。
8. 店舗・事務所で確認したい設定例
中小企業や小規模事業者では、まず次のような構成を目標にすると分かりやすいです。
| ネットワーク | 主な利用者・機器 | アクセスできる範囲 |
|---|---|---|
| 社員用Wi-Fi | 社員PC、社用スマホ | 業務システム、複合機、必要な社内機器 |
| ゲストWi-Fi | 来客、打ち合わせ参加者 | 原則インターネットのみ |
| 業務機器用ネットワーク | POS、監視カメラ、IoT機器 | 必要な通信先のみ |
| 管理用ネットワーク | ルーター、アクセスポイント管理 | 管理者のみ |
すべての会社でここまで分ける必要があるとは限りません。
しかし、少なくとも社員用Wi-FiとゲストWi-Fiを同じにしないことは、基本的な対策として検討すべきです。
特に、次の業種では優先度が高くなります。
- 店舗で来客用Wi-Fiを提供している
- 会計PCやPOSレジを使っている
- 顧客情報を扱う
- 待合室や打ち合わせスペースがある
- 外部業者が頻繁に出入りする
- NASや複合機でファイル共有している
- 監視カメラやIoT機器を使っている
9. ベンダーに確認するときの質問例
Wi-Fi設定は、専門用語が多く、自社だけで判断しづらいことがあります。
保守会社、通信会社、ネットワーク機器ベンダーに確認する場合は、次のように質問すると具体的です。
- 社員用Wi-FiとゲストWi-Fiは、内部的に分離されていますか
- ゲストWi-Fiから社内PC、NAS、複合機にアクセスできない設定ですか
- ゲストWi-Fiからルーターやアクセスポイントの管理画面にアクセスできませんか
- ゲストWi-Fi同士の端末間通信は遮断できますか
- 暗号化方式はWPA3またはWPA2以上ですか
- WEPやTKIPなど古い設定は残っていませんか
- ファームウェアの更新は誰が行いますか
- サポート期限が切れた機器はありませんか
- パスワード変更はどの手順で行いますか
- 設定内容を簡単な図や台帳で残せますか
「ゲストWi-Fiを作っていますか」だけでは不十分です。
ゲストWi-Fiから何にアクセスできるのかを確認しましょう。
10. ゲストWi-Fi運用ルールも決めておく
設定だけでなく、運用ルールも必要です。
たとえば、次のようなルールです。
- 来客にはゲストWi-Fiだけを案内する
- 社員用Wi-Fiのパスワードは来客に伝えない
- 外部業者にも原則ゲストWi-Fiを使ってもらう
- 業務上、社内ネットワーク接続が必要な場合は責任者が判断する
- ゲストWi-Fiのパスワードは定期的に変更する
- ルーターやアクセスポイントの設定変更者を決める
- 退職者・異動者が出たらWi-Fiパスワード変更を検討する
- 不審な通信や見覚えのない設定があれば保守会社に確認する
ルールがないと、現場では「急ぎだから」「いつもの業者だから」「接続できないと困るから」という理由で、社内Wi-Fiのパスワードを渡してしまいがちです。
Wi-Fiの運用は、現場の利便性とセキュリティのバランスが必要です。
そのため、禁止だけでなく、来客や外部業者に使ってもらう正しい接続先を用意しておくことが重要です。
ゲストWi-Fi点検チェックリスト
最後に、店舗・事務所向けのチェックリストをまとめます。
- 社員用Wi-Fiと来客用Wi-FiのSSIDを分けている
- ゲストWi-Fiから社内PCにアクセスできない
- ゲストWi-FiからNASにアクセスできない
- ゲストWi-Fiから複合機やプリンタの管理画面にアクセスできない
- ゲストWi-Fiからルーター管理画面にアクセスできない
- ゲストWi-Fiは原則インターネット利用だけにしている
- 社員用と来客用で異なるパスワードを使っている
- Wi-Fiの暗号化方式がWPA3またはWPA2以上である
- WEP、WPAのみ、TKIPなど古い設定を使っていない
- ルーターやアクセスポイントの管理画面パスワードを初期値から変更している
- ファームウェアを最新状態にしている
- サポート期限が切れたルーターを使い続けていない
- ゲストWi-Fiのパスワード変更ルールを決めている
- 来客や外部業者に社内Wi-Fiを案内しないルールを決めている
- 設定内容を台帳や簡単なネットワーク図に残している
すべてを一度に整える必要はありません。
まずは、**「ゲストWi-Fiから社内機器が見えないか」**を確認するところから始めましょう。
まとめ
来客用Wi-Fiは便利ですが、社内Wi-Fiと同じネットワークにしてしまうと、社内のパソコン、NAS、複合機、POS、会計PCなどに近づく入口になる可能性があります。
大切なのは、次の5点です。
- 社員用Wi-FiとゲストWi-Fiを分ける
- 名前だけでなく、ネットワークとして分離する
- ゲストWi-Fiから社内機器へアクセスできないようにする
- WPA3またはWPA2以上の暗号化方式を使う
- ルーター管理画面、ファームウェア、サポート期限を確認する
Wi-Fiは一度設定すると、そのまま何年も使われがちです。
しかし、店舗や事務所の利用者、業務機器、クラウドサービス、外部業者の出入りは少しずつ変わります。
「昔からこの設定だから大丈夫」ではなく、定期的に確認し、必要に応じて保守会社や専門家に相談しましょう。
ライトハウスコンサルタントでは、福岡・九州の中小企業、個人事業主、小規模事業者向けに、社内Wi-Fi、無線LAN、ルーター設定、クラウド、アカウント管理、バックアップなどを含むセキュリティ現状診断を行っています。同診断では、社内Wi-Fiや無線LAN、ルーターの設定状況も確認項目に含まれています。
自社のWi-Fi設定に不安がある場合は、まずは「社員用」と「来客用」が本当に分かれているかを確認してみてください。
