ゲストWi-Fiの正体と潜む罠:家庭用と業務用の決定的な違いと「有線LAN丸見え」の実態
「ゲスト用SSIDがあるから安心」という思い込み
多くのルーターには「ゲストWi-Fi」機能が搭載されており、ボタン一つで来客用のSSIDを発行できる。しかし、安価な家庭用ルーターや、設定を誤った業務用機器における「ゲストWi-Fi」は、単にパスワードを分けているだけで、ネットワークの内部ではメインの有線LANと繋がっているケースが非常に多い。
これは、玄関の鍵(SSID)は別々だが、中に入れば廊下(ネットワーク)が繋がっていて、全ての部屋(サーバーやPC)にアクセスできる状態と同じである。
1. 「家庭用」ゲストWi-Fiに潜む「有線LANへの抜け穴」
家庭用ルーターのゲストモードは、主に「無線端末同士」の通信を遮断することに特化している。
- 潜む罠: 無線同士は隔離されていても、「無線(ゲスト)から有線(NASやデスクトップPC)」への通信が許可されているモデルが少なくない。
- 実態: ゲストが持ち込んだウイルス感染PCや、悪意ある来客がネットワークスキャンを行うと、社内の基幹システムや共有フォルダのログイン画面が丸見えになってしまう。
2. 「業務用」における真の隔離:VLANの必須性
業務レベルで「安全」と言えるゲストWi-Fiは、**VLAN(Virtual LAN)**によってパケットそのものが完全に別ルートを通るように設計されている。
- 論理的な断絶: タグVLAN(802.1Q)を用い、ゲストの通信をルーターの出口(WAN)まで「専用のトンネル」に閉じ込める。
- L3スイッチでの制御: ルーターだけでなく、途中のスイッチでも「ゲスト用VLANから業務VLANへのルーティング」を物理的に拒否する設定が必要である。
3. 「有線LAN丸見え」を防ぐためのチェックリスト
自社のゲストWi-Fiが「形だけ」でないか、以下の手順で確認してほしい。
- ゲストWi-Fiにスマホで接続する。
- 社内のNASやプリンターのIPアドレス(例: 192.168.1.50)をブラウザに入力してみる。
- ここでログイン画面が表示されたら、隔離は失敗している。
- ネットワークスキャンアプリ(Fing等)を実行する。
- 自社サーバーや他社員のPC名がリストアップされる場合、即座に設定の見直しが必要である。
4. 解決策:適切なセグメンテーション
- クライアント・アイソレーション(AP隔離): Wi-Fi子機同士の通信を遮断する。
- VLAN間アクセス制限: ルーターのACL(アクセス制御リスト)で、ゲストVLANから社内VLANへのパケットをすべて破棄(Drop)する。
- 専用ゲートウェイの検討: 非常に高い機密性を要する場合、物理的にインターネット回線自体を分ける(二重引き込み)ことも検討に値する。
