不要な通信をストップ、覚えておきたいWi-Fiルーターのセキュリティ機能。

○ Wi-Fiルーターは、回線設定さえ済ませてしまえば特に設定しなくても利用できる。しかし実は数多くのセキュリティ機能を搭載しており、その中にはかなり便利なものもある。

そこで今回は、Wi-Fiルーターが搭載している代表的なセキュリティ機能を見ていく。その多くは、不要な通信をできなくするためのものだ。手元のWi-Fi環境で必要のない通信はあるかを確認して、もしあれば利用を検討してみるとよい。

インターネット以外への通信を止める。

PCやスマホからWi-Fiへ接続する目的は、インターネットへのアクセスという人が多いはずだ。だがWi-Fiに接続すると、インターネットだけでなくほかの端末とも接続できる状態になる。セキュリティを高く保つのであれば、インターネットアクセス以外の通信はなるべくできないようにしておくべきだろう。

Wi-Fiルーターには「隔離機能」がある。メーカーによっては「プライバシーセパレータ」「ネットワーク分離機能」「AP隔離機能」などと呼ぶ場合もある。これらの機能をオンにすると、Wi-Fiに接続したPCやスマホなどの端末はインターネットにアクセスできるが、端末同士の通信は遮断される。

この機能を使うと、例えばWi-Fiに接続したPCのうち1台がほかの機器を攻撃するようなウイルスに感染しても、ほかの機器との接続をWi-Fiルーターが遮断するため防御できる。ただし、端末同士でのファイル共有もできなくなる。またハードディスクレコーダーのネットワーク再生機能やプリンターの共有機能なども利用できない。ネットワーク再生やプリンター共有などをするにも関わらず隔離機能を有効にするとトラブルになるので注意したい。また隔離機能を有効にしても、Wi-Fiルーターに有線LANで接続した端末とWi-Fiで接続した端末の通信、またはWi-Fiルーターに有線LANで接続した端末同士の通信は可能な製品もあるので気を付けたい。

Wi-Fiルーターによっては、用途が異なる複数の隔離機能を搭載している場合があるので、取り違えないように注意しよう。

例えばバッファローのWi-Fiルーターの場合「隔離機能」と「プライバシーセパレータ」の2つの設定項目がある。前者はほかの端末との接続をすべて防ぐのに対し、後者は同じアクセスポイント（SSID）に接続した端末との接続を防ぐ。用途に応じて使い分ける必要がある。

画1、Wi-Fiに接続した端末同士の通信を防ぐには「隔離機能」をオンにする。メーカーによって名称や機能が異なる。ファイル共有などは利用できなくなるが、セキュリティを強固に保てる。画面はバッファローのWi-Fiルーターの設定画面。

来客にゲストポートを提供。

来客にWi-Fiを貸すことがある人もいるだろう。その場合にも隔離機能は有効な設定である。ただし、来客にWi-Fiを貸し出すたびに隔離機能を設定するのは手間になる。

こうしたケースで便利な「ゲストポート」という機能を搭載するWi-Fiルーターもある。ゲストポートは、来客者向けに一定時間だけメインのSSIDとは別のSSIDにインターネット接続を提供する機能である。隔離機能と同様にメインのSSIDとネットワークを完全分離できる。ゲストポートは、Wi-Fiルーターのメーカーによっては「ゲストSSID」など異なる名称で呼んでおり、機能も一部異なる。

ゲストポートを使うと来客者に普段使っているメインのSSIDやパスワードを教えなくてもよく、セキュリティを保てる。Wi-Fiルーターの機種によっては、ゲストポートの速度なども制限できるので、来客に必要以上にネットワークを使われることを防げる。

画2、ゲストポートを使うことで、来客にメインのSSIDを伝える必要は無くなる。画面はバッファローのWi-Fiルーターの設定画面。

完全ではないがSSIDを見えなくできる。

PCやスマホでWi-Fiの接続設定を開くと、付近のWi-FiルーターのSSIDが一覧表示される。これは接続先を選ぶときに便利だが、不特定多数の人にSSIDを見られてしまう。そのSSIDと電波強度を参照し合うことで、Wi-Fiルーターの位置が特定されてしまう場合もある。現在の暗号化されたWi-Fiは暗号キーがないと接続できないとはいえ、攻撃対象が見えるぶんリスクは高いといえる。

Wi-Fiルーターは「ステルス機能」を搭載しており、これを使うとSSIDを隠蔽できる。隠蔽すると一覧でSSIDが表示されなくなり、接続するにはSSIDを別途入力する必要がある。接続設定をする際の手順が増える一方で、セキュリティをより強固にできる。

ステルス機能と似た役割を持つ、「ANY接続」を禁止する機能を搭載するWi-Fiルーターもある。ANY接続とは、SSIDを知らなくても端末にSSIDを入力するとき空白にすることで接続できる機能だ。これを禁止すればSSIDが隠蔽される。例えばバッファローのWi-Fiルーターは、「ANY接続」を禁止することによってSSIDを隠蔽できる。

ただしステルス機能やANY接続を禁止する機能を有効にしても、無線技術に詳しい人にはSSIDを知られる可能性がある。またステルス機能を使うと、Wi-Fiの簡単接続機能が利用できなくなったり、古い機器が隠蔽されたSSIDに接続できなくなったりする可能性がある。これらの注意点を理解した上で使うようにしたい。

画3、「ステルス機能」と端末の設定画面の一覧表示でSSIDが非表示になる。接続するにはSSIDの入力が必要になり面倒だが、セキュリティは向上する。バッファローのWi-Fiルーターの場合、画面の「ANY接続」の「許可する」のチェックを外すとSSIDを隠蔽できる。

IPアドレスを割り当てないようにするとアクセス制限になる。

PCやスマホがWi-Fiに接続し、インターネットやほかのPCとファイル共有などの通信をするには、IPアドレスが必要になる。PCやスマホがWi-Fiルーターに接続したときに、Wi-FiルーターはDHCPサーバー機能を使ってローカルネットワーク内で使うIPアドレスを端末に割り振っている。

逆に言えば、IPアドレスを割り振らなければ、インターネットアクセスやファイル共有などはできない。つまりWi-FiルーターのDHCPサーバー機能をオフにしておくことで、不特定のPCやスマホのインターネットアクセスやファイル共有を防げる。ただし、接続するPCやスマホのすべてにIPアドレスを個別に指定する必要があるため、設定の手間は増える。

またこの方法は、Wi-FiルーターのDHCPサーバーでIPアドレスを割り振るIPv4の通信のみに有効だ。IPv6の場合、Wi-Fiに接続した時点でインターネット接続事業者から得た情報などを基にIPv6のIPアドレス（IPv6アドレス）が割り振られてしまう。そのためDHCPサーバー機能をオフにしてもIPv6での接続は防げない。

画4、Wi-Fiルーターが持つDHCPサーバー機能で、各端末にIPアドレスを割り振り通信する。DHCPサーバー機能をオフにして、IPアドレスを固定にするとIPv4の接続は防げる。画面はNECプラットフォームズのWi-Fiルーターの設定画面。