カフェや駅などの公共施設で提供されている、いわゆる「フリーWi-Fi」。自分の機器のデータ通信量を利用しなくて済むということもあり、非常に便利ですよね。また、最近はテレワークや個人事業主としてのフリーな働き方が一般的になってきたため、日常的にカフェなどでPCを開いて業務を行うという方も増えているのではないでしょうか。
便利だから利用したいという気持ちがある一方、「フリーWi-Fiって危険らしい……」という話を聞いたことがあったり、なんとなく危険なのかなというイメージを持っている方も多いと思います。
ISMSなど情報セキュリティの仕組み作りを行う際にも、社外の業務ルールとしてフリーWi-Fiの利用を認めるべきか、認めないのであればどのように従業者に説明すればいいのか困っている方もいるのではないかと思います。
そこで今回は、以下のポイントをテーマに、フリーWi-Fiについてご説明したいと思います。
また、企業でセキュリティインシデントが発生した際に、被害の最小限化、再発防止といったことのために、インシデント管理が必要ですが、LRMでは、その際に有効なインシデント管理台帳を無料で配布しています。
そもそもフリーWi-Fiとは?
「フリーWi-Fi」とは、一口に言うと「無料で提供されているWi-Fi」のことです。カフェや駅、商業施設などで提供されている、誰でもインターネットに接続できる無線のネットワークが最もイメージしやすく、身近ではないでしょうか。
フリーWi-Fiはなぜ危険?
外出先などでもデータ通信料を気にせず無料で使えるフリーWi-Fiですが、セキュリティ上、危険であると警告する方もいます。なぜフリーWi-Fiは危険なのでしょうか。その理由をご紹介します。
第三者が通信の内容を見ることができる
Wi-Fiには「暗号化されているもの」と「暗号化されていないもの」が存在しています。
暗号化がされていれば、簡単には解読できない状態で通信されるのですが、暗号化されていない場合「悪意を持った第三者が通信を盗聴して傍受する」ということが簡単に可能となります。
多くのフリーWi-Fiは無料であり、利便性を高めるために適切なセキュリティ対策が施されていないことがあります。そのためフリーWi-Fiは危険であると言われているのです。
フリーWi-Fi風のネットワークに接続してしまう(なりすまし)
スマートフォンなどでフリーWi-Fiに接続する時、接続先のフリーWi-Fiのネットワーク名を選択する必要があります。
そこで、例えば「LRM_free」という名前のWi-Fiが二つあった場合、どちらかが安全で、もう片方が危険なWi-Fiであった時、この名前から見分けることは困難です。全く同じ名前の場合、判断することができないですよね。
特に暗号化されていないフリーWi-Fiの場合、それをいいことに悪意を持った第三者がフリーWi-Fiと全く同じ名前のWi-Fiポイントを作成して、利用者を誘導する、ということが発生する可能性があります。
それに気づかずに利用者がアクセスしてしまった場合、不正アクセスやスマートフォンの乗っ取りなどのトラブルに合うかもしれません。
公共の場で提供されるWi-Fiはすべて危険?
先ほど、フリーWi-Fiは暗号化されていないから危険というお話をしました。
「ということは、カフェなどのフリーWi-Fiでもパスワード入力などが必要なものは安全なのでは?」
このように思われる方もいるかもしれません。
たしかに、暗号化されているという面ではリスクが下がっています。しかし、一つ気を付けないといけないことがあります。それは、「パスワードが共有されているフリーWi-Fiは危険」ということです。
パスワードが共有されているということは、暗号化するための鍵を第三者も知っているということであり、鍵を使って盗聴した内容を解読されてしまう可能性があります。
また、カフェなどの安全なフリーWi-Fiと「同じネットワーク名+パスワード」という、なりすましWi-Fiに、接続してしまうリスクも無視できません。
そのため、結局のところ、ほぼすべてのフリーWi-Fiは危険と思っておく方が無難です。
ただし、例外として、無料ではないですが、携帯キャリアと契約していると利用できる特別なWi-Fi(0002softbankやau Wi-Fi 2など)は、個別にユーザーを認証して鍵も個別のものを利用するので、安全性は高めです。
もし、フリーWi-Fiを利用するのであれば、上記のように接続するためのパスワード(鍵)が個別のものを利用することを意識すると良いかもしれません。
フリーWi-Fi利用ルールの例
フリーWi-Fiを安全に使うためには、予め利用ルールを設けておくことが効果的です。そのルールには、「個人の設定」と「組織の設定」の2つの観点があります。それぞれの内容について見ていきましょう。
個人の設定編
まずは個人の設定から紹介します。これは個人で使用するスマートフォンやノートパソコンでフリーWi-Fiを安全に使うための設定です。
Wi-Fiの自動接続機能をOFFにしておく
スマートフォンなどでは、その場で接続できるWi-Fiに自動で接続する機能が搭載されています。Wi-Fiを探す手間が省けるので非常に便利な機能ではあるのですが、気づかない間に危険なWi-Fiに接続している可能性もあります。危険なWi-Fiに自動接続しないように、基本的には、Wi-Fiの自動接続機能はOFFにしておきましょう。
フリーWi-Fiに接続する場合は、セキュリティを確認する
各種スマートフォンやPCなどから、Wi-Fiの安全性について確認することが可能です。
接続する際には「PCのWi-Fi設定画面からセキュリティを確認する」「スマートフォンのWi-Fi設定の錠前マークを確認する」などして、セキュリティチェックを行いましょう。Wi-Fiのアイコンに錠前マークがついているものは、通信が暗号化されているため、比較的安全です。
httpsから始まるサイトのみにアクセスする
URLが「https」から始まるサイトは、端末とサーバー間の通信がSSL/TLSと呼ばれる技術により暗号化されています。反対に言うと「http」から始まるものは暗号化がされません。つまり「フリーWi-Fiに接続している状態で、さらにhttpから始まるサイトにアクセスする」ということは、通信内容が全く暗号化されておらず、ほぼ丸裸の状態だと思ってもいいでしょう。
このhttpから始まるサイトにアクセスしないというのは、フリーWi-Fiの場合はもちろんですが、普段自宅や会社のWi-Fiなどにアクセスしている場合、モバイル通信などを利用している場合などにも極力意識することをおすすめします。
ログインが必要なサービス、情報のやり取りが発生するサービスなどは利用しない
仮に暗号化されていたとしてもやはりフリーWi-Fiのリスクはあるので、基本的にフリーWi-Fiを利用して重要な情報のやり取りは行わず、調べものやニュースを見るといったこと程度にしておきましょう。
特に、クレジットカード情報や個人情報の入力が必要なサービスを利用することはご法度です。
SSL/TLSを使って通信を暗号化する
完全に安全とは言い切れませんが、Wi-Fiの暗号化に頼らずに自前でSSL/TLSを使用すると、ある程度、通信の暗号化強度を高められます。
なぜなら、正しいURLを入力しても偽サイトに誘導されてしまうことがあるが、暗号化通信なら偽物を見分けられることがあるからです。
例えば、正規のWebサイトになりすました、偽物で危険なWebサイトにアクセスしたとき、Google Chromeのようなブラウザが、「この接続ではプライバシーが保護されません」のような警告が表示され、アクセスを遮断してくれます。
また、SSL/TLSによる暗号化通信では、接続先のWebサイトが、アドレスバーに表示されるドメインの持ち主が運営していることを証明するサーバー証明書をブラウザが確認し、問題がない場合だけ接続するようになっています。サーバー証明書が不正な場合や、やサーバー証明書の有効期限が切れている場合は、警告が表示されるため、ある程度は安全です。
組織のルール編
続いて、組織でどのようにルールを設けるか見ていきましょう。
フリーWi-Fiは利用禁止とする
最も安全な方法は、ルールとしてフリーWi-Fiの利用を禁止してしまうことです。
どうしても難しい場合は、「WPA2以上の暗号化が施されたもののみアクセス可能」などの、少しでもセキュリティリスクを下げるルールを設定しましょう。
またフリーWi-Fiに接続しているときには、個人情報や機密情報のやり取りはしないというルールも効果的です。
会社からモバイルWi-Fiやテザリング可能なモバイル端末を貸与する
営業など、社外で業務を行うことがある方は、もともとスマートフォンやモバイルWi-Fiを会社から貸与しているかもしれません。
フリーWi-Fiの利用に比べ、モバイルWi-Fiやスマートフォンによるテザリングの利用の方がよっぽどセキュアですので、すでに貸与している、貸与する余裕があるといった場合には検討してもいいかもしれません。
また、社員の同意が取れるようであれば、社員の私物モバイル端末のテザリングを利用可能としても良いでしょう。
VPNサービスを利用する
VPNとはVirtual Private Networkの略称であり、仮想で専用のネットワーク通信網を用意するようなサービスのことです。VPNを導入すると、パソコンやスマートフォンのような端末と特定の拠点間を安全に通信できるようになります。
例えば、VPNサービス事業者の提供するVPNサービスを利用することで、特別に通信経路が用意された場所で通信のやりとりを行うことができます。
一般的なインターネット回線を使ったVPNサービスは、あくまで仮想的に閉じている通信網なので、100%安全とは言い切ることはできませんが、それでも、通信を盗聴されたり、盗み見られたりする危険性は圧倒的に下がります。
一方で、VPNサービスを利用するとなると、費用などを考える必要性が出てきます。上記で挙げた対策などを検討したうえで、さらにセキュアな環境構築が必要か、VPNを導入してまでフリーWi-Fiを認める必要があるかなど、費用対効果を考えた上で導入を検討することをおすすめします。
セキュリオをご利用いただくと、こうしたセキュリティルールを効果的に管理・周知できます。
まずは14日間の無料トライアルから!
まとめ
スマートフォンなど常にネットワークに接続される機器を日常的に利用し、働き方も自由になった現在ではフリーWi-Fiの存在はとても便利に感じられます。
ただし、「只より高いものはない」というように、タダであるということはそれ相応のリスクがあるという可能性を意識しておく必要があります。
フリーWi-Fiの利便性とリスク双方を把握したうえで、適切な行動がとれるようにすることが大切であり、組織としても、ルールや考え方を明示しておくことが望まれます。
インシデント管理台帳もあわせてご活用ください。
