著者:田中麻維
大手電機メーカー系のSierに入社後、インフラエンジニアとしてLinuxサーバーの構築や保守・運用、ソフトウェアの開発業務を経験。アイティベル入社後は、IT領域の執筆などを行う。
Wi-Fiを使用するうえで重要な設定のひとつにSSIDがあります。SSIDはネットワークを識別する名前です。一般的には「ネットワーク名」としてデバイスに表示されます。セキュリティ強度を高めるためには「SSIDステルスモード」や「マルチSSID」の設定を考慮することが重要です。本記事ではSSIDとは、SSIDを設定する目的、SSIDの機能、OS別SSID設定方法、SSID設定時のセキュリティ考慮事項、SSID設定例について解説します。
1. SSIDとは
SSID(Service Set Identifier)はWi-Fiの識別子で、ユーザーがアクセスポイントに接続する際に使用されます。SSIDはネットワークの名称を表し、たとえば家庭用では「My-Home-Access-Point」、企業では「COMPANY-GENERAL-1」など、一般的には利用用途に応じて命名されます。
新しいアクセスポイントを導入する場合、通常は「vendor-model-serial-number」のように、工場出荷時にデフォルトのSSIDが設定されます。初期設定されたSSIDはアクセスポイントに貼付されたラベルに、製造番号やMACアドレス、暗号化キーとともに記載されています。導入時に確認のうえ、ラベルは厳重に保管してください。
ただし、セキュリティ上の理由から、デフォルトのSSIDの変更が推奨されます。
初期設定を変更する場合は、アクセスポイントの管理画面から行えます。
2. SSIDを設定する目的
SSIDはWi-Fiネットワークで使用される識別子であり、接続先のアクセスポイントを特定する目的で設定されます。SSIDが設定されていなければデバイスはどのアクセスポイントに接続すべきかを識別できず、デバイスはアクセスできません。
そのほかにも、用途に応じて複数のSSIDを設定したり、SSIDステルスモードを設定したりしてセキュリティを強化する目的もあります。さらに、複数のアクセスポイントを設置して同じSSIDを設定すると、アクセスポイントの機器が故障した際にも別のアクセスポイントへの接続がスムーズに行われるため、ネットワークの可用性を高められます。
3. SSIDの機能
Wi-Fiの機能でSSIDに関係するものは以下の3機能です。
- SSIDステルスモード
- バンドステアリング
- マルチSSID
本章では、それぞれの機能を解説します。
SSIDステルスモード
SSIDステルスモードはアクセスポイントのビーコン信号の発信を停止する機能です。ビーコン信号はSSIDを含むアクセスポイントの識別情報を含む信号です。ビーコン信号の発信を停止するとSSIDを隠蔽できます。また一定間隔でビーコン信号を発信する動作モードをSSIDブロードキャストと呼びます。
しかし、SSIDステルスモードは特定のSSIDブロードキャストを停止するだけであり、アクセスポイントの存在そのものを隠蔽できません。つまり、アクセスポイントの電波
の発信は検知されてしまいます。
仮にアクセスポイントのSSIDブロードキャストを停止しても、デバイスが発信する要求パケット(これをプローブ要求といいます)にはSSIDが含まれています。悪意のある第三者の盗聴によりSSIDを知られるリスクを注意しましょう。SSIDが知られてしまうと、不正アクセスのほか、偽装アクセスポイントの設置による情報詐取のおそれもあります。
バンドステアリング
バンドステアリングは、2.4GHzと5GHzの周波数帯を自動で切り替える機能です。バンドステアリングを使用すれば、2.4GHz用のSSIDと5GHz用のSSIDを別々に複数設定する必要がありません。さらに、デバイスのSSIDを接続時に変更しなくて済むメリットもあります。
しかし、バンドステアリング機能付きアクセスポイントは高価なものが多いため、導入する際には本当に必要な機能なのか十分な検討が重要です。
マルチSSID
マルチSSIDはアクセスポイントに複数のSSIDを設定できる機能です。SSIDごとにWi-Fi規格(11a/11b/11g/11ac/11ax)や周波数帯(2.4GHz/5GHz)、暗号化方式(WEP/WPA/WPA2/WPA3)を設定できます。マルチSSIDは部署、あるいは来訪者と従業員用にSSIDを分けられるほか、通信規格の異なるデバイスが存在する際に接続先を分ける点でも効果的です。
現在、マルチSSID対応アクセスポイント対応機種は多数ありますが、非対応の機種もあるため、導入前にマルチSSID対応機種であるかを確認しましょう。
なお、暗号化方式についてはWPA2やWPA3などが一般的であり、適切な方式の選択が重要です。詳細は以下の記事をご参照ください。
4. OS別SSID設定方法
SSIDを手動で設定する方法はOSによって異なります。本章ではOS別SSID設定方法を解説します。なお、具体的な設定の手順は、機器やベンダーのマニュアル、サポートドキュメントを参照してください。
Windowsの場合
①「スタート(Windowsアイコン)」をクリックして「設定」を選択
②「ネットワークとインターネット」をクリック
③「Wi-Fi」をクリック
④「既知のネットワークの管理」をクリック
⑤「新しいネットワークの追加」をクリックして「ネットワーク名(SSID)」「セキュリティ」を選択して保存ボタンをクリック
※「自動接続」と「アクセスポイントがブロードキャストしていない際に接続(手動接続)」するのか選択できます
⑥保存したプロファイルで接続できるか確認
※「コントロールパネル」の「ネットワークと共有センター」にある「新しい接続またはネットワークのセットアップ」を選択して「ワイヤレスネットワークに手動で接続します」でも同様の設定ができます
公式サイト:Windows でのワイヤレス ネットワークのWindows 「ワイヤレス ネットワークをセキュリティで保護する」
macOSの場合
①画面のメニューバーに表示されているWi-Fiのアイコンをクリック
②メニューの中にある「ほかのネットワークに接続」をクリック
③ダイアログボックスの「ネットワーク名(SSID)」「セキュリティ(リストから選択)」「パスワード」を入力
④「接続」をクリック
⑤メニューバーのWi-Fiアイコンをクリックして、設定したSSIDにチェックが入っているか確認(チェックがあれば接続済み)
公式サイト:Wi-Fiを使用してMacをインターネットに接続する
Androidの場合
①「設定」の「インターネットとネットワーク」をタップ
②「インターネット」をタップ
※機種や携帯キャリアにより「設定」のメニューが「接続」「Wi-Fi」と表示される場合があります。
③「Wi-Fi」をオンにする(Wi-Fiがオフの場合)
④「ネットワークを追加」をタップ
⑤「ネットワーク名(SSID)」を入力
⑥「セキュリティ」をタップして、リストの中からセキュリティの種類を選択
⑦「接続済み」が表示されているか確認
公式サイト:Android デバイスを Wi-Fi ネットワークに接続する
iOSの場合
①ホーム画面の「設定」をタップ
②設定メニューの中にある「Wi-Fi」をタップ
③Wi-Fiをオンにする(Wi-Fiがオフの場合)
④「その他」をタップ
⑤「名前」にSSIDを入力
⑥「セキュリティ」をタップして、リストの中からセキュリティの種類を選択
⑦「その他」をタップして前の画面に戻る
⑧「パスワード」にパスワードを入力
⑨接続のアイコン(電波のアイコン)が表示されているか確認
公式サイト:iPhone、iPad、iPod touch で Wi-Fi に接続する
なお、設定後に発生するトラブルについては以下の記事をご参照ください。
5. SSID設定時のセキュリティ考慮事項
SSID設定時には、以下のセキュリティ事項について考慮する必要があります。
- SSIDステルスモードを使用する
- 推測されにくいSSIDを設定する
- SSIDとパスワードを手動で入力する
本章では、SSID設定時のセキュリティ考慮事項を解説します。
SSIDステルスモードを使用する
SSIDを外部から隠蔽する方法のひとつがSSIDステルスモードです。SSIDステルスモードを使用すると、デバイス上にSSIDが表示されずSSIDを隠蔽できます。ただし、アクセスポイントの存在そのものを隠蔽できないため注意が必要です。
推測されにくいSSIDを設定する
会社名や部署名など推測されやすい名称を使用せず、命名規約を定めて推測されにくいSSIDの設定が重要です。
SSIDに部署名を含めればわかりやすく管理しやすいものの、外部に公開される可能性を忘れてはいけません。たとえば、「HONSHA」「HQ」「Accounting」などSSIDによって外部に部署の存在が知れ渡るおそれは十分にあります。
推測されにくいSSIDの例として、営業部であれば「SD」(Sales Department)、経理部であれば「AD」(Accounting Department)など、内部の従業員にはわかりやすく、第三者に推測されにくいSSIDを定義してください。SSID、パスワードの定期的な変更もセキュリティを高めるのに効果的です。
通常、SSIDは工場出荷時のもの(ベンダー名や機種名が含まれているSSID)が設定されています。しかし、セキュリティの観点からすると好ましくなく、導入後すぐに変更すべきです。
場所を特定されるようなSSID(たとえば、15F、first-technical-center、city-name-building)もあまり好ましいとはいえません。しかし、セキュリティ上許容できるのであれば、場所を特定できるSSIDを採用するのも選択肢のひとつです。
SSIDとパスワードを手動で入力する
自動接続によるリスクを回避し明示的に認証を行うために、自動接続をオフにして接続時にSSIDとパスワードを手動で入力する方法もあります。この場合、利便性が下がるため運用上問題ないか検討する必要があります。
パスワードのほかにデジタル証明書やワンタイムパスワードといった認証方式を取り入れる方法も効果的です。ただし、認証サーバーの導入が必要なため、導入費用とランニングコストがかかる点を考慮しなければなりません。
6. SSIDの設定例
ビジネスシーンでWi-Fiを使用する際、セキュリティを考慮したSSIDの設定は非常に重要です。SSIDの設定例として、以下のユースケースがあります。
- 自宅でリモートワークをする際に使用する
- 来訪者向けと社内向けに設定を分ける
- 部署・用途に応じて設定を分ける
本章ではビジネスユースケースごとのSSID設定例を紹介します。
ユースケース1.自宅でリモートワークをする際に使用する
自宅のアクセスポイントをリモートアクセスに利用する場合、盗聴に注意しなければなりません。そのため、自宅から社内ネットワークにアクセスする際には、VPN(Virtual Private Network)を必須としてください。
リモートワーカーには、自宅のアクセスポイントに対してセキュリティ対策を行うように周知徹底する必要があります。たとえば、以下の施策が挙げられます。
- 個人利用とは別にリモートアクセス用の専用SSIDを作成する
- SSIDステルスモードを有効にして、SSIDの公開を避ける
- MACアドレスフィルタリングを使用して、特定のデバイスのみ接続を許可する
- 暗号化方式はWPA2またはWPA3にする
なお、VPNについてはこちらの記事をご参照ください。
ユースケース2.来訪者向けと社内向けに設定を分ける
来訪者と社内利用者を区別するために、来訪者向けのSSIDと社内ネットワーク向けのSSIDを設定します。具体的な施策は以下のとおりです。
- 来訪者用のSSIDは公開設定とし、社内用のSSIDはステルスモードで運用する
- 物理的に異なるアクセスポイントを設置してネットワークを分離する
- MACアドレスフィルタリングを設定して、アクセスできるデバイスを制限する
- 来訪者用SSIDの利用は業務時間内に限定する
さらにセキュリティを強固にするために、ネットワーク機器の設定によって細かなアクセス制御をかける方法も重要です。
ユースケース3.部署・用途に応じて設定を分ける
部署によって異なるセキュリティ要件を持つ場合、SSIDを部署ごとに設定すると効果的に管理できます。設定を分ける際には、以下の施策を検討してください。
- 部署ごとに独自のSSIDを割り当てる(例:「AD-001」は経理部、「SD-001」は営業部)
- セキュリティ上、重要なデータを扱う部署では、推測されにくいSSIDを設定する
- 各SSIDに適したVLAN設定とファイアウォールポリシーを適用する
- レガシー機器用に別のSSIDを設置できるが、ハードウェアの更新を推奨する
社内ネットワークであるがゆえに、方針などあいまいになりがちですが、効率的でセキュアな運用を行うためにも、上記で挙げた施策の検討、適用が重要です
。
まとめ
本記事では、SSIDの概要とセキュリティを高める機能、ユースケース別SSID使用方法について解説しました。
SSIDはWi-Fiのネットワークを一意に識別するための名前です。SSIDに関係する機能には「SSIDステルスモード」「バンドステアリング」「マルチSSID」があります。これらの機能はセキュリティ強度を高めるうえで有効な機能であるものの、暗号化機能はないため注意が必要です。
また、ユースケースに応じて異なるSSIDを割り当てることでセキュリティを強化できます。例えば、来客者用SSIDと従業員用SSIDを分けたり、部署ごとでSSIDとVLANを分けたりすれば、セキュリティを高められます。さらにMACアドレスフィルタリングなど、複数の設定を組み合わせることも効果的です。
また、SSIDを含むネットワークの設定を一元管理するためには、IT資産管理ツールの導入が推奨されます。SSIDをはじめとするネットワーク設定の変更や、監視、管理を効率化し、企業のITインフラの保護と運用効率の向上に役立ちますので、ぜひ活用してみてください。
