sg sg-security-measures access_control network
まず結論
ゲストWi-Fiとは、来訪者や一時利用者にインターネット接続を提供するための無線LANです。
SG試験では、ゲストWi-Fiを社内LANと分離する理由を判断できるかが問われることがあります。
ポイントは、ゲストに通信環境を提供しつつ、社内システムや業務データにはアクセスさせないことです。
つまり、ゲストWi-Fiは、
「外部の人に便利さを提供しながら、社内ネットワークを守るための分離」
として理解するとよいです。
直感的な説明
会社に来客があり、「Wi-Fiを使わせてください」と言われる場面を考えます。
このとき、来客の端末を社員と同じ社内LANにつなげてしまうと、社内ファイルサーバ、プリンタ、業務システムなどが見えてしまう可能性があります。
来客に悪意がなくても、その端末がマルウェアに感染しているかもしれません。
また、設定ミスによって、社内の重要な情報にアクセスできてしまうリスクもあります。
そこで、来客用には社内LANとは別のネットワークを用意します。
これがゲストWi-Fiです。
イメージとしては、会社の建物の中に「来客用スペース」を用意するようなものです。
来客は受付や会議室は使えますが、社員しか入れない執務エリアや書庫には入れないようにします。
ゲストWi-Fiも同じで、インターネットは使えるけれど、社内LANには入れないようにします。
定義・仕組み
ゲストWi-Fiは、来訪者、取引先、一時利用者などに提供する無線LANです。
主な目的は、社内LANとは分離した通信環境を提供することです。
代表的な考え方は次のとおりです。
| 項目 | 内容 |
|---|---|
| 利用者 | 来訪者、取引先、一時利用者など |
| 目的 | インターネット接続を提供する |
| 守る対象 | 社内システム、社内ファイル、業務データ |
| 重要な設定 | 社内LANと分離する、アクセス範囲を制限する |
仕組みとしては、社内LANとは別のネットワークを用意し、ゲストWi-Fiから社内サーバや社内端末へ直接アクセスできないようにします。
実現方法には、VLANによるネットワーク分離、ファイアウォールによる通信制御、ルータでのアクセス制限などがあります。
SG試験では、これらの細かい設定方法よりも、なぜ分離するのかを押さえることが重要です。
判断基準はシンプルです。
- 社員が業務で使うネットワーク → 社内LAN
- 来訪者が一時的に使うネットワーク → ゲストWi-Fi
- ゲストから社内資産へアクセスさせない → 分離が必要
ゲストWi-Fiは、単に「便利な来客用Wi-Fi」ではなく、社内LANを守るためのアクセス管理策です。
どんな場面で使う?
ゲストWi-Fiは、外部の人にインターネット接続を提供したい場面で使います。
代表的な場面は次のとおりです。
- 取引先が会議で社内に来る
- 来訪者がオンライン資料を確認する
- セミナーや説明会で参加者にWi-Fiを提供する
- 社員の私物端末を業務用LANに接続させたくない
このような場面では、利用者の端末を完全に信頼できるとは限りません。
そのため、ゲストWi-Fiを社内LANと分離しておくことで、社内システムへの不要なアクセスを防ぎます。
一方で、ゲストWi-Fiを用意していても、設定が不十分だと意味が弱くなります。
例えば、ゲストWi-Fiから社内ファイルサーバにアクセスできる状態では、社内LANと分離しているとはいえません。
また、ゲストWi-Fiのパスワードを長期間変更せず、誰でも使える状態にしておくと、不正利用や通信の責任問題につながる可能性があります。
SG試験では、選択肢に
- 来訪者用の無線LANを社内LANから分離する
- ゲスト用ネットワークから社内サーバへの通信を遮断する
- 来訪者にはインターネット接続だけを許可する
といった表現があれば、ゲストWi-Fiの考え方として適切です。
よくある誤解・混同
ゲストWi-Fiでよくある誤解は、単にSSIDを分ければ安全だと考えることです。
SSIDを分けるだけでは、必ずしも社内LANと分離できているとは限りません。
重要なのは、ネットワークとして分離され、社内資産へのアクセスが制限されていることです。
社内LANとの違い
社内LANは、社員が業務で利用するネットワークです。
業務システム、ファイルサーバ、プリンタ、認証サーバなどにアクセスできる場合があります。
一方、ゲストWi-Fiは、来訪者向けにインターネット接続を提供するネットワークです。
社内システムにアクセスさせる前提ではありません。
選択肢で、
- 来訪者を社内LANに接続させる
- ゲスト端末から社内ファイルサーバを利用できるようにする
と書かれていたら注意が必要です。
プライバシーセパレーターとの違い
プライバシーセパレーターは、同じ無線LANに接続している端末同士の通信を防ぐ機能です。
ゲストWi-Fiは、来訪者用のネットワークを社内LANと分ける考え方です。
つまり、切り分けは次のようになります。
| 用語 | 防ぎたい通信 |
|---|---|
| ゲストWi-Fiの分離 | ゲスト端末から社内LANへの通信 |
| プライバシーセパレーター | 同じ無線LAN内のゲスト端末同士の通信 |
どちらも公衆無線LANや来訪者向けWi-Fiで使われますが、守る範囲が違います。
SG試験では、社内LANと分ける話なのか、端末同士を分ける話なのかで判断します。
暗号化との違い
WPA2やWPA3などの暗号化は、無線通信の内容を第三者に読まれにくくするための対策です。
一方、ゲストWi-Fiの分離は、アクセスできる範囲を制限する対策です。
選択肢で、
- 通信内容を暗号化する
- 電波を盗聴されても内容を読まれにくくする
と書かれていたら、ゲストWi-Fiの分離ではなく、暗号化の話です。
まとめ(試験直前用)
- ゲストWi-Fiは、来訪者や一時利用者向けの無線LAN
- 目的は、インターネット接続を提供しつつ、社内LANへアクセスさせないこと
- SSIDを分けるだけでなく、社内LANとネットワークとして分離することが重要
- プライバシーセパレーターは、同じ無線LAN内の端末同士の通信を防ぐ機能
- SG試験では、社内LANとの分離か端末同士の分離かで選択肢を切る
確認問題
来訪者向けにゲストWi-Fiを提供する場合のセキュリティ対策として、最も適切なものはどれか。
ア. 来訪者の利便性を高めるため、ゲストWi-Fiから社内ファイルサーバにもアクセスできるようにする。
イ. ゲストWi-Fiを社内LANとは別のネットワークにし、社内システムへの通信を制限する。
ウ. SSIDを社内LANと同じ名称にして、利用者が迷わないようにする。
エ. ゲストWi-Fiのパスワードを一度設定したら、管理の手間を減らすため長期間変更しない。
回答と解説
正解は **イ** です。 ゲストWi-Fiは、来訪者にインターネット接続を提供しつつ、社内LANや社内システムにはアクセスさせないようにすることが重要です。 アは、来訪者から社内ファイルサーバへアクセスできてしまうため不適切です。 ウは、社内LANとの区別がつきにくくなり、運用上の混乱につながります。 エは、不正利用のリスクが高まるため不適切です。 SG試験では、**ゲスト用ネットワークは社内LANから分離する**と判断します。🔗 関連記事
- アクセス制御モデルとは?RBAC・ABAC・DAC・MACの違いを整理【SG試験】
- 入退室管理とは?物理アクセス制御の基本【SG試験】
- アクセス管理とは?特権IDとneed-to-knowで権限を適切に制御【SG試験】
- アクセス権限管理とは?付与・変更・削除の流れを整理【SG試験】
- 管理者権限とは?特権的アクセス権との違いを整理【SG試験】