menu

パソコン情報漏洩対策のセキュリティコラム

menu

総務省 無線LANのセキュリティに関するガイドライン【その2】~公衆Wi-Fi提供者向けのポイント~

2024.05.16
総務省 無線LANのセキュリティに関するガイドライン【その2】~公衆Wi-Fi提供者向けのポイント~のアイキャッチ画像
ホーム > パソコン情報漏洩対策のセキュリティコラム > WiFi(無線LAN) > 総務省 無線LANのセキュリティに関するガイドライン【その2】~公衆Wi-Fi提供者向けのポイント~
目次
  1. 総務省 無線LAN(Wi-Fi)のセキュリティに関するガイドラインとは
  2.  「公衆Wi-Fi提供者向け セキュリティ対策の手引き」の目的と対象
  3. お店やカフェに無線LANによる公衆Wi-Fiを提供して良いのか?
  4. 公衆Wi-FIにおける提供者側の責任は?
    1. ポイント1:ネットワーク機器の適切な運用する
    2. ポイント2:業務用ネットワークの分離する
    3. ポイント3:利用者情報の適切な確認をする
    4. ポイント4:アクセスログを記録する
  5. まとめ

総務省 無線LAN(Wi-Fi)のセキュリティに関するガイドラインとは

総務省 無線LAN(Wi-Fi)のセキュリティに関するガイドラインは、総務省が公開している無線LANのセキュリティに関するガイドラインです。

昔は無線LANを使用するデバイスはノートパソコンが対象でしたが、現在ではスマートフォンやスマートデバイス、スマートウォッチや家電機器などIoT機器についても無線LAN(Wi-Fi)を使用する時代になりました。私たちの生活の中で無線LAN(Wi-Fi)は日常の中に溶け込んでいます。

しかし無線LAN(Wi-Fi)を利用する場合、利用者も提供者もセキュリティに関する知識は身につけておく必要があります。

ガイドラインは「自宅Wi-Fi利用者向け 簡易マニュアル」と「公衆Wi-Fi利用者向け 簡易マニュアル」と「公衆Wi-Fi提供者向け セキュリティ対策の手引き」の3つが存在します。 今回は2024年3月1日に更新された最新版のガイドラインから、「公衆Wi-Fi提供者向け セキュリティ対策の手引き」を使用して、その中から理解しておくべきポイントをご紹介したいと思います。

 「公衆Wi-Fi提供者向け セキュリティ対策の手引き」の目的と対象

「公衆Wi-Fi提供者向け セキュリティ対策の手引き」は、公衆Wi-Fiの提供者に対し、安全な公衆Wi-Fiサービスの提供のために必要なセキュリティ対策等に関する理解を深めていただくことを目的としたガイドラインです。

公衆Wi-Fiとは、空港・駅・ホテル・学校・バス亭・図書館・コンビニエンスストア・ファミリーレストランなどの、不特定多数の人が使用できるWi-Fiのことです。

地方公共団体や民間企業が提供することもありますが、カフェやレストランなど飲食店などの個人事業主が提供する公衆Wi-Fiなどもあり、幅広く対象としています。

出典:総務省 無線LAN(Wi-Fi)のセキュリティに関するガイドライン

お店やカフェに無線LANによる公衆Wi-Fiを提供して良いのか?

ガイドラインのセキュリティに前に、そもそも民間企業や個人事業主が公衆Wi-Fiを提供して良いのかという点を確認しておきたいと思います。
総務省 無線LAN(Wi-Fi)のセキュリティに関するガイドラインに記載がありますので引用します。

電気通信事業法に基づく登録や届出
 
公衆Wi-Fiを事業として提供する場合は、原則として電気通信事業法第9条の登録又は同法第16条第1項の届出が必要になります。
ただし、以下に該当する場合は電気通信事業法に基づく登録や届出は不要です。
・本来の業務(電気通信役務以外)に付随して公衆Wi-Fiを提供する場合
(例)ホテル事業者が宿泊サービスの一環として宿泊者に公衆Wi-Fiを提供するケース
・対価を得ずに公衆Wi-Fiを提供する場合
(例)商店街において活性化や集客のために無料で公衆Wi-Fiを提供するケース
なお、地方公共団体による公衆Wi-Fiの提供は、営利を目的としない場合であっても、「不特定かつ多数の者」が利用する場合は、同法第165条第1項の届出が必要となります。
なお、手続や規律の詳細については、電気通信事業法令や、総務省ホームページにおいて公開している「電気通信事業参入マニュアル」、「無線LANビジネスガイドライン」等を参照ください

対価を得ないでサービスの一環として提供する場合は特別な届け出は必要ないようです。セキュリティはますます注目されているの、今後変わるかもしれませんね。

公衆Wi-FIにおける提供者側の責任は?

調べてみると、総務省が下記の文書を公開していました。

無線LANの利用に関する無線LAN提供者の責任の所在

この中に下記の記載がありますので引用します。

無線LANはインターネットへのアクセスを容易にする点で非常に便利であるが、この無線LANを利用して様々な犯罪が行われる可能性が指摘されている。

実際に、無線LANを利用して銀行への振込みを誘導する犯罪等が行われる事案などが多く発生している。

これらの無線LANを利用した犯罪等の事案においては、我が国においては不正アクセス禁止法などが問題となり、無線LANを利用する者の刑事責任を含む責任は追及される

こととなるが、無線LANの提供者が何らかの責任を問われる仕組みとはなっていない。

無線LANの提供者の責任について検討を行うのは、無線LAN等を利用した何らかの法違反行為について、誰がその違反行為を行ったのかの追求が難しい場合が多く、それゆえ、

責任の帰属先の特定が難しいという事態が生じるためである。

つまり現状では「無線LANの提供者が何らかの責任を問われる仕組みとはなっていない。」とはなっているようですが、かといって提供者が適当にポンッと設置しておくだけでは良くありません。

この機会にきちっと抑えるべきポイントを理解しましょう。

  • ポイント1:ネットワーク機器の適切な運用する
  • ポイント2:業務用ネットワークの分離する
  • ポイント3:利用者情報の適切な確認をする
  • ポイント4:アクセスログの記録・保存をする

ポイント1:ネットワーク機器の適切な運用する

公衆Wi-Fiをお客様に提供する場合、アクセスポイントやルーター等の機器を適切に設置する必要があります。

お客様に簡単に触られてしまったりしないようにしましょう。ルーターのIDやパスワードは初期パスワードなどから変更してください。SSID(アクセスポイント名)も初期のものからお店のSSIDと分かるようなSSIDに設定すると良いと思います。

セキュリティ強度はWPA2やWPA3など国が推奨している暗号化方式を採用するようにしましょう。

また、ルーター等のネットワーク機器のファームウェアを常に最新にすることも大事なポイントです。ファームウェアとは無線LANルーターが提供するプログラムのようなもので、ファームウェアが古いと不正アクセス等のリスクを高めます。ファームウェアの提供は不定期なので、1年に1回でも良いのでファームウェアが新しいものがリリースされていないかと、その内容について確認するようにしましょう。また、10年前や5年前などの古いルーターはサポートも切れている可能性もありますので、無線LANルーター自体もサポートが切れている場合は買い換えを検討しましょう。 SSIDへ接続する為のパスワードを数ヶ月に1回変更するなどすると、不正アクセスのリスクも低くなります。

出典:総務省 無線LAN(Wi-Fi)のセキュリティに関するガイドライン

ポイント2:業務用ネットワークの分離する

お店に配置したルーターはお客様用と自分用(自宅など)に分けましょう。

仮にお店と自宅が一緒の場合、ルーターを2台購入する方法ではなく、ルーターの設定で論理的に2つに分ける事が可能です。 お客様のアクセスポイント名と、自宅用のアクセスポイント名を分離して、それぞれのアクセスポイント同士のネットワークが通信できないように設定するようにします。ネットワークの分離に関する機能があると思いますので、詳しくは購入したルーターのマニュアル等を参照頂いて設定してみてください。

ポイント3:利用者情報の適切な確認をする

公衆Wi-Fiは名前も顔も分からない不特定多数の人が利用する無線LANを想定しています。

ガイドラインでは利用者の認証などが必要な場合と、必ずしも必要でない場合に分けていますので、確認しましょう。

利用者情報の確認や認証が有効な例
不特定かつ多数の人が公衆Wi-Fiを利用する場所では、誰がいつ公衆Wi-Fiを使っているのかを目視や監
視カメラ等で把握することが困難です。こうした環境では、利用者情報の確認や認証によって利用者を把握できるようにすると良いでしょう。

利用者情報の確認や認証が必ずしも必要ではない例
目視や監視カメラ等で人の出入りを十分に把握できる環境や、帳簿やシステム記録等で利用者の出入りを十分把握できる場合は、必ずしもWi-Fiシステム側で利用者情報の確認や認証を行う必要はありません。
ただし、これらの場合でも、サービス環境や利用者の状況に応じて、利用者情報の確認や認証を行うことが適切な場合もあります。
また、意図したエリア内に限ってサービスが提供されるように、電波の出力等について適切に調整することも大切です。

出典:総務省 無線LAN(Wi-Fi)のセキュリティに関するガイドライン

ポイント4:アクセスログを記録する

公衆Wi-Fiは不特定多数の人が利用します。

そのために可能な限り、いつ・だれが・いつまで使用したのかなどを記録できておくと、万が一不正アクセス等のセキュリティ事故が発生したときの役に立ちます。この時に利用されるのがログ機能です。ルーターを購入する際には、しっかりとログが可能なルーターを選ぶと良いと思います。

まとめ

無線LAN(Wi-Fi)のセキュリティに関するガイドラインは、公衆Wi-Fi提供者にとって重要なポイントを提供しています。

適切なネットワーク機器の運用が不可欠です。これにより、セキュリティの弱点を最小限に抑え、安全な接続環境を確保できます。

業務用ネットワークの分離は、セキュリティのために欠かせない措置です。これにより、機密情報や個人データへのアクセスを制限し、不正アクセスのリスクを軽減します。

利用者情報の適切な確認は、安全なネットワーク環境を維持するために欠かせません。アクセスログの記録・保存は、潜在的なセキュリティ問題の追跡や対処に役立ちます。

これらのポイントを適切に実施することで、公衆Wi-Fi提供者は安全性を向上させ、利用者に信頼性の高いサービスを提供するようにしましょう。

この他にもガイドラインの解説をしていますので興味がありましたらご参照ください。

この記事を書いた人

ワンビ株式会社
セキュリティエバンジェリスト 井口 俊介
高等専門学校卒業。大手企業のミッションクリティカルシステムのアカウントサポートを担当。
その後プロジェクトマネージャーにてITインフラの導入に携わる。
2020年からワンビ株式会社でエンドポイントセキュリティのプリセールスとして従事。営業技術支援、セミナー講演、コラムの執筆など幅広くセキュリティ業務に携わる。