外部から侵入されにくくする方法（443号）

前回の小ネタ集が意外に好評でしたので、今回は視点を変えて、外部から組織内への侵入を難しくする方法についてお話します。

外部からの侵入方法とその防止対策は、実に巾広いものです。
今回はそのうちの、ほんの一部、中小企業でも簡単に実施できそうな対策を２つご紹介します。


1. テレワーク（在宅勤務）してますか？

コロナ禍の2020年頃に、テレワーク（在宅勤務）という勤務形態を各社が採用せざるを得ない状況となり、一気に一般化しました。

2026年現在では、テレワークを継続している組織もあれば、やめた組織もあります。

業務にもよりますが、テレワークを行う場合でも、社内システムや、社内のファイルサーバなどへのアクセスが必要となるケースが多いようです。

これは言い換えれば、外部（インターネット）から内部（社内ネットワークなど）に入る必要があるということです。

蛇足かもしれませんが、ここでいう「インターネット」は、SafariやChromeで見にいく通販サイトやSNS、オンラインバンキングなどのWebサイト閲覧のみならず、メールなどを含む全てのネットワークサービスを指しています。

組織内部の秘密情報（お客さん情報や社内の重要情報）に部外者が自由にアクセスされては困ります。

なので、外部（インターネット）から内部に入ろうとする場合は、関所を設け、入ろうとする時には、本当にそのアクセス権を持つ人かどうかを確認します。

この確認のため、VPN（ブイピーエヌ：バーチャルプライベートネットワーク）という仕組みがよく利用されます。多くの場合、VPN装置と呼ばれるハコを組織内に設置し、内部に入りたい人は、VPNが求める認証情報（IDやパスワードなど）を入力して、アクセス権を持っていることを伝えます。

VPNについては、以前にも記事を書いています。ご興味のある方はご一読ください。

　No155 在宅勤務を支えるVPNをご存知ですか？（2020年4月配信）
　https://note.com/egao_it/n/nd36db106749b

　No327 VPNが狙われる３つの理由（2023年10月配信）
　https://note.com/egao_it/n/na25cc3d31e94

さて、VPN装置がログインを許可すると、組織内のネットワークが使えるようになります。

もちろん、IDやパスワードが正しくなければログインはできませんが、VPN機器側のバグや設定ミスを突かれて侵入されてしまうケースが後を絶ちません。

なぜ、そんなことがおきるのか？
その理由の多くが、VPN装置のメンテナンス不備にあります。


2. VPN装置のメンテナンス

VPN装置というのは、ネットワーク機器です。ネットワーク機器というのは、稼働している限り、24時間体制で接続要求を受け付けています。

テレワークなどで自宅からのインターネット接続を受けるということは、すなわち世界中のあらゆる場所からの接続も受け付けることになります。
正常な接続要求ばかりならいいのですが、招かざる客、つまり不正な接続要求も大量にやってきます。

テレワークを実施する限り、このVPN装置を止めるわけにはいきません。
逆に言えば、かつてはテレワークをしていたが、今はテレワークをやめた、という組織であれば、VPN装置はすぐにでも止めるべきです。

出入りのIT業者がメンテナンスにVPNが必要と主張するのであれば、そのメンテナンス時だけVPNの電源を入れる運用にする方がはるかに安全です。

さらに、VPN機器を安全に利用するには、メンテナンス契約が必須です。
VPN装置も結局のところコンピュータですので、内蔵ソフトウェアのバグもちょいちょい見つかります。
ですから、Windows Updateなどと同様に定期的にメンテナンスを行わないと、不正侵入を簡単に許してしまいます。

実際、ランサムウェアの侵入経路の半数以上がVPN経由だったという調査報告もあるくらいなのです。

VPN装置を導入済で、今後もVPNによるテレワークを継続するのでしたら、必ずVPN機器を導入したベンダーとの保守契約を結び、不正侵入を防ぐようにしてください。

VPN機器はとても便利な道具なのですが、便利であるがゆえに、「お世話をし続けること」もまた求められるのです。


3. 無線LANのパスフレーズ

今や、ノートPC（パソコン）が出荷台数の大半（1095万台中964万台）を占めています。
その影響もあり、家庭でも事務所でも無線LANの利用が当たり前となっています。

ですが、この無線LANが不正侵入の入口となりうることはあまり言われていません。

無線LANでは、接続時にSSID（無線LANの名前）とパスフレーズが必要です。
家庭用の無線LAN機器（バッファローやアイオーデータ機器などの機器）では、機器にランダムなパスフレーズを書いたシールが貼ってあり、基本的には固定です。

最初にその無線LANに接続する時だけは、パスフレーズの手入力がいりますが、通常はPCにパスフレーズを覚えさせますから、二回目以降はパスフレーズの存在すら意識していないと思います。

家庭内であれば、この利用方法で問題はありません。
ですが、組織の場合はそうはいきません。入社や退社する人が出てくるからです。

退社した方がパスフレーズを覚えていると、退社後もその会社の秘密情報にアクセスできてしまいます。

特に、テナントビルに入っている会社などですと、廊下やエレベータホールから退職者が無線LANに接続できてしまいます。これは非常に危険です。


4. パスフレーズ変更のススメ

幸いなことに、パスフレーズは無線LANの機器で設定変更できます。

例えば、退職者が出た場合には、人事部門から、無線LANの管理者に連絡がいくように社内の業務マニュアルを整えるのが良いでしょう。

もちろん、いきなりパスフレーズを変更してしまうと、社員が無線LANにアクセスできなくなりますから、事前に情報共有しておくことは大切です。

社内の掲示板や、一斉メールなどで、パスフレーズ変更のスケジュールを伝えるのが良いでしょう。

無線LANの安全性の確保には、人の増減を考慮することも必要だと、筆者は考えます。


5. （余談）WPA2/3 Enterpriseという解

実は無線LANの規約には、各利用者毎に異なるパスフレーズを設定できる機構も用意はされています。これはWPA2/3 Enterpriseという規格です。（通常の安価な無線LANは WPA2/3 Personalという規格です）

ですが、このWPA2/3 Enterprise というのは、各人のパスフレーズを設定するために無線LANの機器以外にもサーバが必要となりますので、数十人以下の組織では運用を回すことがかなり難しいと思います。

家庭向けであるWPA2/3 Personalと大企業向けであるWPA2/3 Enterpriseの間を埋める、中小企業向きの規格がほしいところです。

例えば、新旧のパスフレーズを一定期間は並行利用でき、旧パスフレーズに有効期限を設定しておいて、その日になれば使えなくなる、といった機能。
これがあるだけでも、中小企業でのパスフレーズ切り替えは、かなりラクになるのではないでしょうか。
そのような機能を持つ無線LAN機器が出てくることを期待しています。


6. まとめ

今回は、前回とは逆に、組織外から組織内への侵入を防ぐための簡単な内容についてお話しました。

特に、無線LANのパスフレーズについては、今まで意識したことのない組織も多いとおもいますが、そんなに難しい話ではありませんので、検討されることを強くおすすめします。

次回もお楽しみに。

今日からできること：

・使っていないVPN機器は停止（廃棄）しよう。
→継続利用する場合は、必ず保守契約をむすびましょう
・無線LANのパスフレーズは、退職者が出る都度、更新しよう。
→さらに定期的な更新まで行えば最強

（本稿は 2026年2月に作成しました）