BYOD端末を公衆Wi-Fiで利用する危険性とは
BYOD(Bring Your Own Device)とは、従業員が個人所有のデバイスを業務に使用する形態です。近年のテレワーク普及や働き方の多様化により、多くの企業でBYODの導入が進みつつあります。
しかし、従業員が社外で公衆Wi-Fiを利用して業務を行う場合、便利さと引き換えに様々なセキュリティ上の危険性が潜んでいることを忘れてはなりません。
公衆Wi-Fiの利用は盗聴や中間者攻撃、マルウェア感染などのリスクを伴い、企業の重要な情報が外部に漏洩する可能性もあります。
本章では、BYOD端末を公衆Wi-Fiで利用する際に特に注意すべき代表的な危険性について解説します。
⇒【ロリポップ!固定IPアクセス】 月額490円、すぐに使えて最大2ヶ月間無料!
公衆Wi-Fi利用時の主なリスク
- 通信の盗聴(盗み見) 多くの公衆Wi-Fiは暗号化されていないオープンネットワークで提供されており、同じネットワーク上の第三者に通信内容を傍受される恐れがあります。 悪意ある攻撃者が特殊なソフトウェアを用いれば、送受信されるIDやパスワード、クレジットカード情報などの機密データを容易に盗み取ることが可能です。
- 中間者攻撃(MITM)の危険 公共のWi-Fiでは、攻撃者がユーザーと接続先サーバーとの通信を途中で傍受・改ざんする「中間者攻撃(Man-in-the-Middle攻撃)」が発生するリスクもあります。 例えば、攻撃者が正規のホットスポットになりすました偽のWi-Fiアクセスポイントを設置し、利用者を騙して接続させるケースです。 この手口は「イビルツイン攻撃」と呼ばれ、攻撃者は利用者の通信内容を完全に盗み見たり、偽のサイトに誘導したりできます。 利用者はSSID(ネットワーク名)が見慣れたものであるため疑いを持ちにくく、その間にパスワードやクレジットカード情報など重要な個人情報が盗まれてしまう恐れがあります。
- マルウェア感染のリスク 公衆Wi-Fiはマルウェアの侵入経路ともなり得ます。例えば、同じWi-Fiに接続している他の感染端末からウイルスが拡散したり、攻撃者が設置した偽のアクセスポイントに接続した際に知らない間にマルウェアに感染してしまう可能性があります。 その状態で社内ネットワークに接続すると、感染が拡大するリスクも考えられます。 結果として端末内の個人情報や業務データが盗み取られたり、最悪の場合は社内システムにまで被害が及ぶ可能性があり、重大な情報漏えいにつながりかねません。
上述したような公衆Wi-Fi利用時のリスクは、企業にとって深刻な脅威となります。
たった一度の不注意で従業員のアカウント情報が盗まれたり、端末がマルウェアに侵されて社内の機密データが漏洩すれば、企業全体の信用失墜や業務停止といった重大な被害を招く恐れがあります。
では、こうしたリスクを低減するには具体的にどのような対策が必要なのでしょうか。
以下で、企業側と従業員個人側それぞれの視点から、公衆Wi-Fi下でBYOD端末を安全に利用するためのセキュリティ対策を紹介します。
⇒【ロリポップ!固定IPアクセス】 月額490円、すぐに使えて最大2ヶ月間無料!
企業側で講じるBYODセキュリティ対策
企業は、自社の情報資産を公衆Wi-Fi利用時のリスクから守るため、組織としての対策を講じる必要があります。
従来、社内システムへの安全なアクセス確保にはプロバイダー提供の固定IPアドレスを用いてアクセス元を限定する方法が一般的でしたが、リモートワークの普及により社外からのアクセス元IPアドレスを特定し制限する必要が生じています。
こうした環境変化に対応するため、BYOD環境に合わせたセキュリティポリシーと技術対策を整備することが不可欠です。企業側が講じる主な対策例を以下に示します。
- BYOD利用ポリシーの策定と従業員教育 まず、企業はBYODの運用ルール(ポリシー)を明文化し、従業員に周知徹底する必要があります。 例えば、使用を許可する端末の申請方法、端末内への業務データ保存禁止、公衆Wi-Fiを利用する際の基本ルール(必ず社内VPNを使用する、利用後はログアウトする等)などを定め、従業員に遵守を促します。 また、定期的なセキュリティ教育や研修を通じて、公衆Wi-Fi利用の危険性と安全な利用方法を従業員に理解させることも重要です。 企業側で全てを管理しきれない領域については従業員自身で対策を行ってもらう必要があることを認識させ、具体的な対策方法や管理を怠った場合のリスクについて教育することでセキュリティ意識の向上を図りましょう。
- MDM(モバイルデバイス管理)の導入 BYOD端末を含め社用データを扱うデバイスを一元管理するには、MDM(Mobile Device Management)の導入が効果的です。 MDMを利用すれば、管理者は従業員の端末に対して遠隔でパスワードポリシーの適用や端末のリモートロック・ワイプ(遠隔初期化)を実行できます。 万一端末の紛失・盗難があった場合にも、MDM経由で機密データを消去することで情報漏えいリスクを抑えられます。 さらに、Wi-FiやVPNの設定プロファイル、電子証明書などを一括配布して各端末に適用することも可能であり、従業員一人ひとりが複雑なネットワーク設定を行う手間を減らすことができます。 このようにMDMによって端末設定とセキュリティを統制することで、BYOD端末の安全な利用を下支えできます。
- 社内システムへのIPアドレス制限 社外から社内システムやクラウドサービスにアクセスする場合、アクセス元IPアドレスによる接続制限(IP制限)を活用することでセキュリティを高めることができます。 重要な業務ツールやデータベース等について、アクセス許可を特定のIPアドレス(例:自社オフィスのネットワークや社用VPNの固定IP)に限定し、それ以外からの接続をブロックする設定です。 IP制限を導入しておけば、たとえログイン用パスワードが漏洩してしまった場合でも許可されていない場所(IPアドレス)からはシステムに入れないため、不正アクセスの抑止につながります。
- VPNや固定IPサービスの活用 公衆Wi-Fi経由の通信は必ず暗号化された経路を通すよう、企業はVPN(仮想プライベートネットワーク)環境を整備すべきです。 VPNを使用することで社外からの通信内容が暗号化され、盗聴や不正傍受のリスクを大幅に低減できます。 特に、VPN接続時に固定IPアドレスを各端末に割り当てるサービスを利用すれば、従業員がどこから接続しても常に同じグローバルIPアドレスで社内ネットワークにアクセスすることが可能です。 これにより前述のIP制限と組み合わせたアクセス制御が実現でき、許可された社員だけが安全に社内システムへ接続できるようになります。 社内VPNの構築が難しい場合でも、信頼性の高い外部の固定IP付与型VPNサービスを導入することで、比較的低コストかつ迅速にこの仕組みを取り入れられます。
- 多要素認証(MFA)の導入 公衆Wi-Fi経由で業務システムにログインする際に備えて、二要素認証・多要素認証を導入しておくことも有効です。 ID・パスワードだけの認証方式では、万一これらの情報が盗み取られた場合に第三者による不正アクセスを許すリスクがあります。 しかし、ワンタイムパスワードや生体認証など複数の要素でユーザーを検証するMFAを有効にしておけば、仮にパスワードが漏えいしても他の要素が突破されない限り侵入を防ぐことが可能です。 BYOD環境では端末利用者の“顔が見えない”ため、ログイン時の本人確認を強化してなりすまし(不正なユーザー偽装)を防止することが重要です。
- ウイルス対策ソフトの必須化 BYOD端末にも確実にウイルス対策ソフトを導入させ、常に最新の状態に保つことも欠かせません。 個人所有の端末ではセキュリティ対策が社員任せになりがちなため、企業側で推奨のセキュリティソフトを指定したりライセンスを支給したりして、必ずインストールさせましょう。 BYOD端末は貸与PCに比べてマルウェア感染の危険性が高い傾向にあるため、端末上のウイルス対策を強化しておくことで、公衆Wi-Fi利用中に万一マルウェアに遭遇した場合でも感染の予防・拡大防止に役立ちます。
以上のように、企業側では技術的対策と運用ルールの整備を組み合わせた多層的なセキュリティ強化が求められます。
特に中小企業においては、VPNや固定IPサービスの活用は比較的低コストで実現できる有効策です。
次章では、実際に従業員が公衆Wi-Fiを利用する際に心がけるべきポイントをまとめます。
⇒【ロリポップ!固定IPアクセス】 月額490円、すぐに使えて最大2ヶ月間無料!
従業員が実践すべき公衆Wi-Fi利用時の対策
企業側がどんなにセキュリティ対策を講じていても、最終的に端末を操作する従業員自身の行動が安全性を左右します。
企業側で管理しきれないセキュリティ領域については、従業員自身が適切に管理・対策を行うことが必要だとされています。
ここでは、BYOD端末を公衆Wi-Fiに接続して業務を行う際に従業員が守るべきポイントをチェックリスト形式で解説します。
- 信頼できるWi-Fiにのみ接続する 公衆Wi-Fiを利用する際は、SSID(ネットワーク名)と提供元をよく確認し、信頼できるアクセスポイント以外には接続しないよう徹底しましょう。 例えば、空港やカフェで公式に提供されているWi-Fiの名称と一致するかを確認し、不審な名前(綴りが微妙に異なる例など)や誰でも設置できそうな汎用的な名称(例:「Free_Public_WiFi」など)には安易に繋がらないようにします。 また、パスワード無しで誰でも接続できるオープンなWi-Fiは極力避けてください。 暗号化されていないネットワークでは通信内容が第三者に丸見えになってしまいます。 仮にパスワード付きのWi-Fiでも、そのパスワードが店内掲示などで公開されている場合にはセキュリティ上のリスクが残る点に注意が必要です。
- VPNで通信を暗号化する 仕事で公衆Wi-Fiを使う際には、必ずVPN(仮想プライベートネットワーク)を利用して通信を暗号化してください。 社内システムやクラウドサービスへアクセスする場合、Wi-Fiに接続したら直ちに会社指定のVPNアプリを起動し、そこから社内リソースにログインする習慣を徹底しましょう。 VPNを使用すれば、第三者による通信内容の盗聴や改ざんを防ぐことができるため、たとえフリーWi-Fi上でも社外から安全に社内ネットワークに接続できます。 また、もし会社からVPN環境が提供されていない場合でも、信頼できる市販の個人向けVPNサービスを活用して通信を保護することを検討すべきです。
- WebサイトのHTTPS接続を確認 ウェブサービスにアクセスする際は、URLが「https://~」で始まっていることを確認する習慣をつけましょう。 HTTPS対応のサイトは通信内容が暗号化されるため、データの盗み見や改ざんを防ぐことができます。 アクセス中にブラウザから「保護されていない通信」「証明書エラー」等の警告が表示された場合は、機密情報の入力を行わず速やかに接続を中止することが賢明です。
- 自動接続設定の無効化 スマホやPCのWi-Fi設定で、過去に接続したネットワークへの自動再接続機能はオフにしておきましょう。 以前接続したことがあるSSIDを端末が記憶していると、近くに同じ名前の悪意あるアクセスポイントがあった場合に意図せず自動接続してしまう危険があります。 また、外出先でWi-Fiを使わないときはWi-Fi機能自体をOFFにする習慣も有効です。 不要なネットワークへの意図しない接続や、Wi-Fi電波を利用した位置情報の追跡を防止できます。
- 端末とアプリのセキュリティ対策 利用者自身が使う端末を常に最新かつ安全な状態に維持することも不可欠です。 OSやスマートフォンアプリ、PCソフトウェアには最新のアップデートを適用し、既知の脆弱性を放置しないようにしてください。 加えて、信頼できるウイルス対策アプリをインストールし、定期的に端末内をスキャンしてマルウェア感染がないか確認しましょう。 端末には強固なパスワードや生体認証によるロックを設定し、紛失・盗難時にも第三者に不正利用されないようにします。 また、公衆Wi-Fi利用中は共有フォルダやAirDrop等の近距離通信機能は無効化し、業務と無関係なアプリの利用は控えるなど、安全のための習慣を徹底しましょう。
- フリーWi-Fi上での重要操作を避ける 公衆Wi-Fi接続中は、特に慎重な行動を心がけてください。オンラインバンキングや重要な社内システムへの管理者ログインなど、機密性の高い操作はフリーWi-Fi上では可能な限り避けることが賢明です。 どうしても必要な場合は、カフェ等のWi-Fiではなくスマホのテザリングなど携帯電話回線を利用するか、少なくとも暗号化や認証が施された信頼できるネットワークで行うようにしましょう。 万が一公衆Wi-Fi上で機密情報を扱った場合は、作業後に必ずログアウトし、端末内に保存されたパスワードやキャッシュを消去するなど、後始末も徹底してリスク軽減に努めてください。
以上、企業および従業員の両面から公衆Wi-Fi利用時のセキュリティ対策を解説しました。
BYOD環境で公衆Wi-Fiを安全に活用するには、組織と個人の協力による多層防御が欠かせません。
特にVPNや固定IPアドレスの活用は、比較的手軽に導入できて大きな効果を発揮する対策と言えます。
その具体例として、最後に当社が提供するサービス「ロリポップ!固定IPアクセス」をご紹介します。
⇒【ロリポップ!固定IPアクセス】 月額490円、すぐに使えて最大2ヶ月間無料!
ロリポップ!固定IPアクセスでBYODのセキュリティを強化
ロリポップ!固定IPアクセスは、GMOペパボ株式会社(ロリポップ!)が提供する固定IPアドレス付与型のVPNサービスです。
社員が自宅・カフェ・出張先など社外のどこからでもこのVPN経由で接続することで、常に固定されたグローバルIPアドレスから社内ネットワークやクラウドサービスにアクセスできます。
そのため企業側はアクセス元IPによる厳格な制限が可能となり、許可されたIPアドレス以外からの接続をブロックすることで不正アクセスや情報漏えいのリスクを大幅に低減できます。
通信自体もVPNにより全て暗号化されるため、公衆Wi-Fi上でも社内への通信を安全に行うことができます。
まさに前述した「VPNの暗号化」と「IPアドレス制限」を手軽に両立できるソリューションと言えます。
ロリポップ!固定IPアクセスの主な特徴は次のとおりです。
- 低コストで導入可能 1ライセンス(月1固定IP)あたり月額539円(税込)から利用でき、最大2ヶ月間の無料お試し期間もあります。 業界水準と比べても非常に安価なため、中小企業でも導入しやすい料金設定です。
- 即日利用開始に対応 オンラインで申し込み後、VPN接続に必要な専用アプリに設定ファイルを読み込んで有効化するだけで、即日から固定IPでの接続が可能です。 煩雑な事業者手続きや機器準備を待つ必要がなく、思い立ったらすぐに利用開始できます。
- 最新プロトコル「WireGuard」を採用 VPNプロトコルには高速かつ安全性の高いWireGuardを採用しており、モバイル環境でも安定・高速に動作します。 設定もシンプルで、専門知識がなくても容易に導入・利用できるのも利点です。
- 複数端末から同時接続が可能 1つの固定IPアドレスを複数の端末で同時に共有利用することが可能です。 チーム単位で同じ固定IPを使いたい場合などに便利で、拠点や店舗ごとにIPを分けて管理する用途にも対応しています。
- 必要なライセンス数を柔軟に調整可能 利用する固定IPアドレスのライセンス数は1つ単位で追加・削減できるため、少人数のスモールスタートから大規模利用まで無駄のない運用が行えます。 利用状況に応じて契約数を増減でき、コストコントロールが容易です。
当社では自社サービスとしてロリポップ!固定IPアクセスを運営しており、BYODやリモートワークに伴うセキュリティ課題を解決する手段の一つとして多くの企業様にご利用いただいています。
公衆Wi-Fi利用時の情報漏えいや不正アクセスが心配な場合は、ぜひロリポップ!固定IPアクセスの導入をご検討ください。
詳しくは公式サイトの[ロリポップ!固定IPアクセス](https://vpn.lolipop.jp/)ページも合わせてご覧いただければ幸いです。
