WPA2限定レガシーデバイス専用VLAN：低暗号化端末を起点とする全体波及の防止

古い端末がネットワーク全体の「アキレス腱」になる

最新の Wi-Fi 規格（WPA3）が普及する一方で、古いプリンターや IoT 機器、レガシーな業務用端末は WPA2 以前の暗号化方式にしか対応していない場合が多い。これらの「低暗号化端末」をメインネットワークに混在させると、その端末の脆弱性が突破された際、同一ネットワーク内にある重要サーバーや PC へ攻撃が容易に拡散（ラテラル・ムーブメント）してしまう。

対策のコンセプト：VLAN による隔離

「古い端末を使うな」ではなく、「古い端末専用の隔離区画（VLAN）」 を作り、そこからメインネットワークへの通信を物理的・論理的に遮断する。

具体的な構築・設定手順

• 専用 SSID の作成: WPA2-AES（または機器が許す最高設定）に限定したレガシー専用の SSID を発行する。
• VLAN ID の割り当て: この SSID に紐づく通信を、メインとは異なる VLAN ID（例：VLAN20）に分離する。
• ファイアウォール（ACL）の設定:
  • レガシー → メイン: 拒否（Deny）。隔離区画から社内サーバー等へのアクセスを一切禁止する。
  • メイン → レガシー: 必要最低限のみ許可（例：特定の管理 PC からプリンターへの印刷指示のみ）。
  • インターネットアクセス: 必要最小限の更新サイト等に限定。

運用のルールと注意点

• 接続機器の厳格な管理: 「繋がらないから」という理由で安易にメインの SSID を教えない。隔離 VLAN への接続を徹底する。
• SSID 隠蔽（ステルスモード）の検討: 古い暗号化方式の SSID を公開し続けるリスクを減らすため、あえて SSID を隠蔽し、手動設定した既知のデバイスのみが接続するようにする。
• 廃止計画（サンセット）の策定: 隔離しているとはいえ、脆弱な端末はリスクであることに変わりはない。機器のリプレイス時期を明確にし、VLAN ごと撤去するゴールを決めておく。