カフェや駅などの公共施設で提供されている、いわゆる「フリーWi-Fi」。
自分の機器のデータ通信量を利用しなくて済むということもあり、非常に便利ですよね。
また、最近はテレワークや個人事業主としてのフリーな働き方が一般的になってきたため、日常的にカフェなどでPCを開いて業務を行うという方も増えているのではないでしょうか。

便利だから利用したいという気持ちがある一方、「フリーWi-Fiって危険らしい…」という話を聞いたことがあったり、なんとなく危険なのかなというイメージを持っている方も多いと思います。

ISMSなど情報セキュリティの仕組み作りを行う際にも、社外の業務ルールとしてフリーWi-Fiの利用を認めるべきか、認めないのであればどのように従業者に説明すればいいのか困っている方もいるのではないかと思います。

そこで今回は、以下のポイントをテーマに、フリーWi-Fiについてご説明したいと思います。

【今回のポイント!】

  • そもそもフリーWi-Fiとは?
  • フリーWi-Fiはなぜ危険?
  • 公共の場で提供されるWi-Fiはすべて危険?
  • 社外でのネットワーク利用ルール例
    • 個人の設定編
    • 組織のルール編

そもそもフリーWi-Fiとは?

一言でまとめると、「無料で提供されているWi-Fi」です。
カフェや駅、商業施設などで提供されているものが最もイメージしやすく、身近ではないでしょうか。

フリーWi-Fiはなぜ危険?

1. 第三者が通信の内容を見ることができる

Wi-Fiには「暗号化されているもの」と「暗号化されていないもの」が存在しています。
暗号化がされていれば、簡単には解読できない状態で通信されるのですが、暗号化されていない場合、第三者が通信の盗聴を行い内容を解読する、ということが簡単に可能となります。
そして、フリーWi-Fiの多くは無料であり、また、利用の利便性を高めるといった観点からしっかりとしたセキュリティ対策がなされていないものもあり、そこから、フリーWi-Fiは危険であると言われています。

2. フリーWi-Fi風のネットワークに接続してしまう(なりすまし)

例えば「LRM_free」という名前のWi-Fiが二つあった場合、どちらが本物かわかりますか。全く同じ名前の場合、判断することができないですよね。
特に暗号化されていないフリーWi-Fiの場合、それをいいことに悪意を持った第三者がフリーWi-Fiと全く同じ名前のWi-Fiポイントを作成して、利用者を誘導する、ということが発生する可能性があります。
それに気づかずに利用者がアクセスしてしまった場合、不正アクセスやのっとりなどのトラブルに合うかもしれません。

公共の場で提供されるWi-Fiはすべて危険?

先ほど、フリーWi-Fiは暗号化されていないから危険というお話をしました。「ということは、カフェなどのフリーWi-Fiでもパスワード入力などが必要なものは安全なのでは?」と思われる方もいるかもしれません。
たしかに、暗号化されているという面ではリスクが下がっていますがひとつ気を付けないといけないことがあります。それは、「パスワードが共有されているフリーWi-Fiは危険」ということです。
パスワードが共有されているということは、暗号化するための鍵を第三者も知っているということであり、鍵を使って盗聴した内容を解読されてしまう可能性があります。
また、同じネットワーク名+パスワードというなりすましWi-Fiに、安心しきって接続してしまうリスクなどもあります。
そのため、結局、ほぼすべてのフリーWi-Fiは危険と思っておく方が無難です。

ただし、少し例外として、無料ではないですが、携帯キャリアと契約していると利用できる特別なWi-Fi(0002softbankやau Wi-Fi 2など)は個別にユーザーを認証して鍵も個別のものを利用するので、安全性は高めです。
もし、フリーWi-Fiを利用するのであれば、上記のように接続するためのパスワード(鍵)が個別のものを利用することを意識すると良いかもしれません。

フリーWi-Fi利用ルールの例

個人の設定編

1. Wi-Fiの自動接続機能をOFFにしておく

スマートフォンなどでは、その場で接続できるWi-Fiに自動で接続する機能が搭載されています。Wi-Fiを探す手間が省けるので非常に便利な機能ではあるのですが、気づかない間に危険なWi-Fiに接続している可能性もあります。
基本的には、Wi-Fiの自動接続機能はOFFにしておきましょう。

2. フリーWi-Fiに接続する場合は、セキュリティを確認する

各種スマートフォンやPCなどから、Wi-Fiの安全性について確認することが可能です。
接続する際には「PCのWi-Fi設定画面からセキュリティを確認する」「スマートフォンのWi-Fi設定の錠前マークを確認する」などして、セキュリティチェックを行いましょう。

3. httpsから始まるサイトのみにアクセスする

「https」から始まるサイトは、端末とサーバー間の通信が暗号化されます。
反対に言うと「http」から始まるものは暗号化がされません。
つまり、フリーWi-Fiに接続している上、httpから始まるサイトにアクセスする、ということは、ほぼ丸裸の状態だと思ってもいいでしょう。
このhttpから始まるサイトにアクセスしないというのは、フリーWi-Fiの場合はもちろんですが、普段自宅や会社のWi-Fiなどにアクセスしている場合、モバイル通信などを利用している場合などにも極力意識することをおすすめします。

4. ログインが必要なサービス、情報のやり取りが発生するサービスなどは利用しない

仮に暗号化されていたとしてもやはりフリーWi-Fiのリスクはあるので、基本的にフリーWi-Fiを利用して重要な情報のやり取りは行わず、調べものやニュースを見るといったこと程度にしておきましょう。
特に、クレジットカード情報や個人情報の入力が必要なサービスを利用することはご法度です。

組織のルール編

ここでは、社外でのネットワーク利用についてのルールを組織として決める際の例を、いくつか紹介します。

1. フリーWi-Fiは利用禁止とする

可能であれば、やはりフリーWi-Fiの利用は基本禁止にしてしまい、以下に挙げるような対策を取ることをおすすめします。
どうしても難しい場合は、「WPA2以上の暗号化が施されたもののみアクセス可能」など少しでもセキュリティリスクを下げるルール設定にしましょう。

2. 会社からモバイルWi-Fiやテザリング可能なモバイル端末を貸与する

営業など、社外で業務を行うことがある方は、もともとスマートフォンやモバイルWi-Fiを会社から貸与しているかもしれません。フリーWi-Fiの利用に比べ、モバイルWi-Fiやテザリングの利用の方がよっぽどセキュアですので、すでに貸与している、貸与する余裕があるといった場合には検討してもいいかもしれません。
また、従業者の同意が取れるようであれば、従業者の私物モバイル端末のテザリングを利用可能としても良いでしょう。

3. VPNサービスを利用する

VPNとはVirtual Private Networkの略称であり、仮想で専用のネットワーク通信網を用意するようなサービスのことです。
例えば、VPNサービス事業者の提供するVPNサービスを利用することで、特別に通信経路が用意された場所で通信のやりとりを行うことができます。
一般的なインターネット回線を使ったVPNサービスは、あくまで仮想的に閉じている通信網なので、100%安全とは言い切ることはできませんが、それでも、通信を盗聴されたり盗み見られる危険性は圧倒的に下がります。

一方で、VPNサービスを利用するとなると、費用などを考える必要性が出てきます。
上記で挙げた対策などを検討したうえで、さらにセキュアな環境構築が必要か、VPNを導入してまでフリーWi-Fiを認める必要があるかなど、費用対効果を考えた上で導入を検討することをおすすめします。

まとめ

スマートフォンなど常にネットワークに接続される機器を日常的に利用し、働き方も自由になった現在ではフリーWi-Fiの存在はとても便利に感じられます。
ただし、「只より高いものはない」というように、タダであるということはそれ相応のリスクがあるという可能性を意識しておく必要があります。
フリーWi-Fiの利便性とリスク双方を把握したうえで、適切な行動がとれるようにすることが大切であり、組織としても、ルールや考え方を明示しておくことが望まれます。

フリーWi-Fiって何が危険なの?

カフェや駅などの公共施設で提供されている、いわゆる「フリーWi-Fi」。
自分の機器のデータ通信量を利用しなくて済むということもあり、非常に便利ですよね。
また、最近はテレワークや個人事業主としてのフリーな働き方が一般的になってきたため、日常的にカフェなどでPCを開いて業務を行うという方も増えているのではないでしょうか。

便利だから利用したいという気持ちがある一方、「フリーWi-Fiって危険らしい…」という話を聞いたことがあったり、なんとなく危険なのかなというイメージを持っている方も多いと思います。

ISMSなど情報セキュリティの仕組み作りを行う際にも、社外の業務ルールとしてフリーWi-Fiの利用を認めるべきか、認めないのであればどのように従業者に説明すればいいのか困っている方もいるのではないかと思います。

そこで今回は、以下のポイントをテーマに、フリーWi-Fiについてご説明したいと思います。

【今回のポイント!】

  • そもそもフリーWi-Fiとは?
  • フリーWi-Fiはなぜ危険?
  • 公共の場で提供されるWi-Fiはすべて危険?
  • 社外でのネットワーク利用ルール例
    • 個人の設定編
    • 組織のルール編

そもそもフリーWi-Fiとは?

一言でまとめると、「無料で提供されているWi-Fi」です。
カフェや駅、商業施設などで提供されているものが最もイメージしやすく、身近ではないでしょうか。

フリーWi-Fiはなぜ危険?

1. 第三者が通信の内容を見ることができる

Wi-Fiには「暗号化されているもの」と「暗号化されていないもの」が存在しています。
暗号化がされていれば、簡単には解読できない状態で通信されるのですが、暗号化されていない場合、第三者が通信の盗聴を行い内容を解読する、ということが簡単に可能となります。
そして、フリーWi-Fiの多くは無料であり、また、利用の利便性を高めるといった観点からしっかりとしたセキュリティ対策がなされていないものもあり、そこから、フリーWi-Fiは危険であると言われています。

2. フリーWi-Fi風のネットワークに接続してしまう(なりすまし)

例えば「LRM_free」という名前のWi-Fiが二つあった場合、どちらが本物かわかりますか。全く同じ名前の場合、判断することができないですよね。
特に暗号化されていないフリーWi-Fiの場合、それをいいことに悪意を持った第三者がフリーWi-Fiと全く同じ名前のWi-Fiポイントを作成して、利用者を誘導する、ということが発生する可能性があります。
それに気づかずに利用者がアクセスしてしまった場合、不正アクセスやのっとりなどのトラブルに合うかもしれません。

公共の場で提供されるWi-Fiはすべて危険?

先ほど、フリーWi-Fiは暗号化されていないから危険というお話をしました。「ということは、カフェなどのフリーWi-Fiでもパスワード入力などが必要なものは安全なのでは?」と思われる方もいるかもしれません。
たしかに、暗号化されているという面ではリスクが下がっていますがひとつ気を付けないといけないことがあります。それは、「パスワードが共有されているフリーWi-Fiは危険」ということです。
パスワードが共有されているということは、暗号化するための鍵を第三者も知っているということであり、鍵を使って盗聴した内容を解読されてしまう可能性があります。
また、同じネットワーク名+パスワードというなりすましWi-Fiに、安心しきって接続してしまうリスクなどもあります。
そのため、結局、ほぼすべてのフリーWi-Fiは危険と思っておく方が無難です。

ただし、少し例外として、無料ではないですが、携帯キャリアと契約していると利用できる特別なWi-Fi(0002softbankやau Wi-Fi 2など)は個別にユーザーを認証して鍵も個別のものを利用するので、安全性は高めです。
もし、フリーWi-Fiを利用するのであれば、上記のように接続するためのパスワード(鍵)が個別のものを利用することを意識すると良いかもしれません。

フリーWi-Fi利用ルールの例

個人の設定編

1. Wi-Fiの自動接続機能をOFFにしておく

スマートフォンなどでは、その場で接続できるWi-Fiに自動で接続する機能が搭載されています。Wi-Fiを探す手間が省けるので非常に便利な機能ではあるのですが、気づかない間に危険なWi-Fiに接続している可能性もあります。
基本的には、Wi-Fiの自動接続機能はOFFにしておきましょう。

2. フリーWi-Fiに接続する場合は、セキュリティを確認する

各種スマートフォンやPCなどから、Wi-Fiの安全性について確認することが可能です。
接続する際には「PCのWi-Fi設定画面からセキュリティを確認する」「スマートフォンのWi-Fi設定の錠前マークを確認する」などして、セキュリティチェックを行いましょう。

3. httpsから始まるサイトのみにアクセスする

「https」から始まるサイトは、端末とサーバー間の通信が暗号化されます。
反対に言うと「http」から始まるものは暗号化がされません。
つまり、フリーWi-Fiに接続している上、httpから始まるサイトにアクセスする、ということは、ほぼ丸裸の状態だと思ってもいいでしょう。
このhttpから始まるサイトにアクセスしないというのは、フリーWi-Fiの場合はもちろんですが、普段自宅や会社のWi-Fiなどにアクセスしている場合、モバイル通信などを利用している場合などにも極力意識することをおすすめします。

4. ログインが必要なサービス、情報のやり取りが発生するサービスなどは利用しない

仮に暗号化されていたとしてもやはりフリーWi-Fiのリスクはあるので、基本的にフリーWi-Fiを利用して重要な情報のやり取りは行わず、調べものやニュースを見るといったこと程度にしておきましょう。
特に、クレジットカード情報や個人情報の入力が必要なサービスを利用することはご法度です。

組織のルール編

ここでは、社外でのネットワーク利用についてのルールを組織として決める際の例を、いくつか紹介します。

1. フリーWi-Fiは利用禁止とする

可能であれば、やはりフリーWi-Fiの利用は基本禁止にしてしまい、以下に挙げるような対策を取ることをおすすめします。
どうしても難しい場合は、「WPA2以上の暗号化が施されたもののみアクセス可能」など少しでもセキュリティリスクを下げるルール設定にしましょう。

2. 会社からモバイルWi-Fiやテザリング可能なモバイル端末を貸与する

営業など、社外で業務を行うことがある方は、もともとスマートフォンやモバイルWi-Fiを会社から貸与しているかもしれません。フリーWi-Fiの利用に比べ、モバイルWi-Fiやテザリングの利用の方がよっぽどセキュアですので、すでに貸与している、貸与する余裕があるといった場合には検討してもいいかもしれません。
また、従業者の同意が取れるようであれば、従業者の私物モバイル端末のテザリングを利用可能としても良いでしょう。

3. VPNサービスを利用する

VPNとはVirtual Private Networkの略称であり、仮想で専用のネットワーク通信網を用意するようなサービスのことです。
例えば、VPNサービス事業者の提供するVPNサービスを利用することで、特別に通信経路が用意された場所で通信のやりとりを行うことができます。
一般的なインターネット回線を使ったVPNサービスは、あくまで仮想的に閉じている通信網なので、100%安全とは言い切ることはできませんが、それでも、通信を盗聴されたり盗み見られる危険性は圧倒的に下がります。

一方で、VPNサービスを利用するとなると、費用などを考える必要性が出てきます。
上記で挙げた対策などを検討したうえで、さらにセキュアな環境構築が必要か、VPNを導入してまでフリーWi-Fiを認める必要があるかなど、費用対効果を考えた上で導入を検討することをおすすめします。

まとめ

スマートフォンなど常にネットワークに接続される機器を日常的に利用し、働き方も自由になった現在ではフリーWi-Fiの存在はとても便利に感じられます。
ただし、「只より高いものはない」というように、タダであるということはそれ相応のリスクがあるという可能性を意識しておく必要があります。
フリーWi-Fiの利便性とリスク双方を把握したうえで、適切な行動がとれるようにすることが大切であり、組織としても、ルールや考え方を明示しておくことが望まれます。

Author: 石濱 雄基
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする