ゲストWi-Fi用VLAN：社内リソースへのアクセスを物理・論理的に断絶する最小権限設計

ゲストへの利便性と社内資産の保護を両立する

来客者や従業員の私物端末（BYOD）にインターネット環境を提供することは一般的だが、これらを社内LANと同じセグメントに接続させることは、情報の盗聴やウイルス感染の拡大を招く致命的なリスクとなる。ゲストWi-Fiは「インターネットへの出口」のみを提供し、社内リソース（NAS、サーバー、プリンター、他PC）からは物理・論理的に完全に孤立させなければならない。

最小権限設計（Zero Trust）の構築指針

「中からは見えるが、外（ゲスト）からは見えない」ではなく、「お互いに存在すら認識できない」状態を設計のゴールとする。

1. SSIDとVLANの分離

• 専用SSIDの発行: ゲスト専用のSSID（例：Guest_Wi-Fi）を作成し、暗号化方式には最新のWPA3またはWPA2-AESを使用する。
• タグVLANの割り当て: このSSIDに紐づく通信を、社内用とは別のVLAN ID（例：VLAN99）としてタグ付けし、ルーターまで運ぶ。

2. ファイアウォール/ACLによるトラフィック制御

ルーターやL3スイッチのアクセス制御リスト（ACL）で以下のルールを適用する。

• ルールA（対社内）: VLAN99 ↔ 社内VLAN：すべての通信を拒否（Deny All）。
• ルールB（対インターネット）: VLAN99 → WAN（インターネット）：許可（Allow）。
• ルールC（対管理画面）: VLAN99 → ルーター・スイッチの管理IP：拒否（Deny）。ゲストが機器の設定画面にアクセスするのを防ぐ。

3. クライアント・アイソレーション（AP隔離）

Wi-Fiアクセスポイント（AP）の設定で「クライアント・アイソレーション（Client Isolation）」を有効にする。

• 効果: 同じゲストWi-Fiに繋いでいる「ゲストA」と「ゲストB」の間での通信も禁止する。これにより、ゲスト端末同士の感染拡大も防止できる。

運用のベストプラクティス

• パスワードの定期変更: ステッカーなどで掲示するパスワードは定期的に変更するか、有効期限付きのゲストコード発行システムを利用する。
• 利用規約の提示（キャプティブポータル）: 接続時に「公序良俗に反する利用の禁止」などの同意画面を表示させることで、トラブル時の法的リスクを軽減する。
• 帯域制限（QoS）: ゲストが動画視聴などで帯域を占有し、業務通信（Web会議など）に支障が出ないよう、ゲストVLAN全体の通信速度に上限を設ける。