sg sg-security-measures access_control network
まず結論
無線LANのセキュリティ対策は、1つの設定だけで安全にするものではなく、複数の対策を役割ごとに組み合わせるものです。
SG試験では、無線LAN対策そのものの細かい設定よりも、どの対策が何を防ぐのかを判断できるかが問われます。
特に、次の切り分けが重要です。
- 通信内容を守る → WPA2 / WPA3 などの暗号化
- 許可した端末だけ接続させる → MACアドレスフィルタリング
- 無線LAN名を見えにくくする → SSIDステルス
- 利用者同士の通信を防ぐ → プライバシーセパレーター
- 来訪者を社内LANから分ける → ゲストWi-Fi
選択肢では、「暗号化」「接続制限」「端末同士の分離」「社内LANとの分離」を混同させてくることがあります。
直感的な説明
無線LANは、ケーブルを使わずに電波でネットワークへ接続します。
便利な一方で、電波は周囲に届くため、物理的に社内へ入らなくても通信を狙われる可能性があります。
そのため、無線LANでは次のように複数の観点で守ります。
- 通信を読まれないようにする
- 勝手に接続されないようにする
- 接続した端末に何でも見せないようにする
- 来訪者と社員のネットワークを分ける
イメージとしては、会社の建物を守るときに、入口の鍵だけでなく、入館証、部屋ごとの入室制限、来客用エリアの分離を組み合わせるのに近いです。
無線LANも同じで、暗号化だけ、SSIDステルスだけ、MACアドレスフィルタリングだけでは不十分です。
それぞれの役割を理解して組み合わせることが大切です。
定義・仕組み
無線LANのセキュリティ対策は、目的ごとに整理すると理解しやすくなります。
代表的な対策は次のとおりです。
| 対策 | 主な役割 | SG試験での見方 |
|---|---|---|
| WPA2 / WPA3 | 無線通信を暗号化する | 通信内容を読まれにくくする対策 |
| MACアドレスフィルタリング | 登録した端末だけ接続を許可する | 接続できる端末を制限する対策 |
| SSIDステルス | SSIDを一覧に表示されにくくする | 見えにくくするだけで、強い防御ではない |
| プライバシーセパレーター | 同じ無線LAN内の端末同士の通信を防ぐ | 公衆Wi-Fiで利用者同士を分離する対策 |
| ゲストWi-Fi | 来訪者用ネットワークを社内LANから分ける | 社内システムへアクセスさせない対策 |
この中で、SG試験で特に注意したいのは、対策の目的を言い換えられた選択肢です。
例えば、SSIDステルスはSSIDを見えにくくする設定ですが、通信内容を暗号化するものではありません。
また、MACアドレスフィルタリングは接続端末を制限する対策ですが、MACアドレスは偽装される可能性があるため、これだけで十分とは考えません。
プライバシーセパレーターは、同じ無線LANに接続した端末同士の通信を防ぐ機能です。
ゲストWi-Fiは、来訪者用のネットワークを社内LANから分離する考え方です。
つまり、無線LAN対策は、何を防ぎたいのかから選ぶ必要があります。
どんな場面で使う?
無線LANのセキュリティ対策は、利用場面によって重視するポイントが変わります。
社内用無線LAN
社内用無線LANでは、社員が業務システムや社内サーバにアクセスすることがあります。
そのため、暗号化、認証、端末管理、アクセス制御を適切に行う必要があります。
単にSSIDを隠すだけでは不十分です。
選択肢で、「社内業務で使う無線LANを安全に運用する」という文脈なら、通信の暗号化や利用者・端末の管理を重視します。
公衆無線LAN
カフェ、ホテル、駅などの公衆無線LANでは、不特定多数の利用者が同じアクセスポイントに接続します。
この場合は、利用者同士の端末が直接通信できないようにすることが重要です。
ここで有効なのが、プライバシーセパレーターです。
選択肢で、「同じアクセスポイントに接続している端末同士」という表現が出たら、プライバシーセパレーターを考えます。
来訪者向け無線LAN
会社に来た取引先や来訪者にWi-Fiを提供する場合は、社内LANと分離したゲストWi-Fiを用意します。
来訪者にインターネット接続を提供しつつ、社内ファイルサーバや業務システムへアクセスさせないためです。
選択肢で、「来訪者」「ゲスト」「社内LANと分離」という表現があれば、ゲストWi-Fiの考え方として判断します。
よくある誤解・混同
無線LANのセキュリティ対策では、似た用語を混同しやすいです。
SG試験では、用語名そのものよりも、防ぐ対象が何かで判断します。
SSIDステルスを強い対策だと思う
SSIDステルスは、SSIDを一覧に表示されにくくする設定です。
無線LANの存在やSSIDを完全に隠せるわけではありません。
そのため、選択肢で、
- SSIDを隠せば盗聴を防げる
- SSIDを非公開にすれば不正接続を完全に防げる
- SSIDステルスだけで安全な無線LANになる
と書かれていたら注意します。
MACアドレスフィルタリングを万能だと思う
MACアドレスフィルタリングは、登録した端末だけを接続させるための対策です。
ただし、MACアドレスは偽装される可能性があります。
そのため、MACアドレスフィルタリングだけで十分な対策とはいえません。
SG試験では、接続端末を制限する対策ではあるが、万能ではないと押さえます。
プライバシーセパレーターとゲストWi-Fiを混同する
プライバシーセパレーターとゲストWi-Fiは、どちらも分離の考え方に関係します。
ただし、分離する対象が違います。
| 用語 | 分離する対象 |
|---|---|
| プライバシーセパレーター | 同じ無線LAN内の利用者端末同士 |
| ゲストWi-Fi | 来訪者用ネットワークと社内LAN |
選択肢では、端末同士の通信なのか、社内LANへのアクセスなのかで切り分けます。
暗号化とアクセス制御を混同する
WPA2やWPA3は、無線通信を暗号化する対策です。
一方、ゲストWi-Fiやファイアウォールによる制御は、アクセスできる範囲を制限する対策です。
通信内容を守る話なのか、接続先を制限する話なのかを分けて考えます。
まとめ(試験直前用)
- 無線LAN対策は、暗号化・接続制限・分離を組み合わせて考える
- WPA2 / WPA3 は、無線通信の内容を守る対策
- SSIDステルスは、SSIDを見えにくくするだけで万能ではない
- プライバシーセパレーターは、同じ無線LAN内の端末同士を分離する
- ゲストWi-Fiは、来訪者用ネットワークを社内LANから分離する
確認問題
無線LANのセキュリティ対策に関する説明として、最も適切なものはどれか。
ア. SSIDステルスを設定すれば、無線通信の内容を暗号化できる。
イ. MACアドレスフィルタリングを設定すれば、MACアドレスの偽装を完全に防止できる。
ウ. 公衆無線LANでは、同じアクセスポイントに接続した端末同士の通信を制限するためにプライバシーセパレーターを使う。
エ. 来訪者向けのゲストWi-Fiは、利便性のため社内LANと同じネットワークに接続する。
回答と解説
正解は **ウ** です。 プライバシーセパレーターは、同じ無線LANに接続している端末同士の通信を制限する機能です。 アは、SSIDステルスと暗号化を混同しています。SSIDステルスはSSIDを一覧に表示されにくくする設定であり、通信内容を暗号化する機能ではありません。 イは、MACアドレスフィルタリングを万能視している点が不適切です。MACアドレスは偽装される可能性があります。 エは、ゲストWi-Fiの目的と逆です。来訪者用ネットワークは、社内LANと分離することが重要です。 SG試験では、**何を防ぐ対策なのか**を見て選択肢を切ります。🔗 関連記事
- アクセス制御モデルとは?RBAC・ABAC・DAC・MACの違いを整理【SG試験】
- 入退室管理とは?物理アクセス制御の基本【SG試験】
- アクセス管理とは?特権IDとneed-to-knowで権限を適切に制御【SG試験】
- アクセス権限管理とは?付与・変更・削除の流れを整理【SG試験】
- 管理者権限とは?特権的アクセス権との違いを整理【SG試験】