>
>
公開日
自宅やカフェ、オフィスのWi-Fiが安全かを判断するには、暗号化方式の種類と適切な確認方法を知る必要があります。
2025〜2026年はWi-Fi 7の普及、WPA3必須化、サポート終了ルーターの排除、証明書認証への移行が同時に進んでいます。個人利用ではWPA2以上、企業利用ではWPA3-EnterpriseとEAP-TLSを基準にするのが現実的な安全ラインです。
この記事でわかること
Wi-Fiセキュリティの種類と、WPA2・WPA3の選び方
Windows、Mac、iPhone、AndroidでのWi-Fiセキュリティ確認方法
企業が避けるべきPSK共有、Transition Mode、SSIDステルスの落とし穴
証明書認証、ゼロトラスト、DLPA推奨ルーター2への対応手順

Wi-Fiセキュリティとは?
本記事は、ネットワークセキュリティの実務経験を持つエンジニア(CISSP・CompTIA Security+取得者)が監修しています。
Wi-Fiセキュリティとは、無線LANの通信内容を暗号化し、接続を許可する端末やユーザーを認証する仕組みである。
本記事のポイント
WEPやWPAは使用禁止、最低ラインはWPA2-AES、推奨はWPA3である
Wi-Fi 7や6GHz帯を安全に使うにはWPA3、PMF、H2Eへの対応が前提である
企業では共通パスワードではなく、WPA3-Enterpriseと証明書認証を基準にする
サポート終了ルーターは通信速度の問題ではなく、侵入やボット化の入口になる
Wi-Fiは電波が壁の外まで届くため、有線LANよりも「誰が近くで盗聴・接続を試みているか」を把握しにくい通信手段です。暗号化が弱い場合、通信内容の傍受、社内ネットワークへの不正侵入、なりすましアクセスポイントへの誘導が発生します。
2024年に認証が始まったWi-Fi CERTIFIED 7(Wi-Fi Alliance公式)以降、企業でもWi-Fi 7対応アクセスポイントへの更新が進んでいます。特に6GHz帯ではWPA3とPMF、つまり管理フレーム保護が必須であり、WPA3-PersonalではH2E方式の利用が求められます。古い端末を残したまま最新APだけを導入しても、安全性と性能は十分に出ません。
総務省の無線LAN(Wi-Fi)のセキュリティに関するガイドラインは令和6年3月版の改定で利用者向けマニュアルを「自宅Wi-Fi利用者向け」と「公衆Wi-Fi利用者向け」に分冊し、サポート期限内の機器選定とファームウェア更新を強く求めています。令和7年2月版はその後継の更新版にあたります(総務省:無線LANセキュリティガイドライン)。さらに令和7年3月改定の地方公共団体向け情報セキュリティポリシーガイドライン(総務省)では、無線LAN利用時にクライアント証明書を用いた機器認証、つまりEAP-TLS等が必須とされました。
読者別の到達点
対象 | まず満たすべき基準 | 次の一手 |
|---|---|---|
個人・テレワーカー | WPA2-AES以上、古いフリーWi-Fiを避ける | OSでセキュリティ表示を確認し、警告が出るSSIDへ接続しない |
50名未満の企業 | 家庭用ルーター流用をやめ、WPA3対応機器へ更新する | ゲストSSID分離とファームウェア自動更新を設定する |
50〜300名の企業 | 共通パスワード運用を段階的に廃止する | MDMとクラウドRADIUSで証明書認証を導入する |
300名超・多拠点企業 | Wi-Fiを社内だから安全な領域と扱わない | WPA3-Enterprise、VLAN、ZTNAを組み合わせる |
NTTデータビジネスブレインズが2026年5月に発表した実務担当者向け調査(調査実施期間:2026年4月)では、86.4%の企業でシャドーITが多少なりとも存在していると報告されています。IBMのCost of a Data Breach Report 2025(IBM公式)では、シャドーAIの利用が多い組織は少ない組織に比べ、データ侵害コストが平均67万ドル増えるとされています。管理外Wi-Fi、私物ルーター、未承認AI利用は別々の問題ではなく、同じ情報漏洩経路として扱う必要があります。
今使っているWi-Fiは安全か確認する方法
Wi-Fiの安全性チェックは、接続中の端末でセキュリティの種類を確認し、WPA2-AESまたはWPA3以外なら接続を見直す判断で足りる。
Wi-Fiの安全性を確認する際、最初に見るべき項目はSSID名ではなく「セキュリティの種類」です。オープン、WEP、WPA、TKIPと表示されるネットワークは業務利用に適しません。
Windows 11・Windows 10
タスクバーのWi-Fiアイコンを選び、接続中のネットワークを開く
Windows 11は「プロパティ」または「ハードウェアのプロパティ」を開く
Windows 10は「ネットワークとインターネットの設定」から接続中SSIDのプロパティを開く
「セキュリティの種類」にWPA2-Personal、WPA3-Personal、WPA2-Enterpriseなどが表示される
「WPA2-Personal AES」以上なら一般利用の最低ラインです。企業端末ではWPA2-EnterpriseまたはWPA3-Enterpriseと表示される状態を目標にします。
Mac
メニューバーのWi-FiアイコンをOptionキーを押しながらクリックする
接続中SSIDの詳細情報を表示する
「セキュリティ」欄でWPA2、WPA3、Enterpriseなどを確認する
macOSのバージョンによっては「システム設定」からWi-Fiの詳細を開く方が確認しやすい場合があります。警告表示が出るSSIDは、暗号化方式かルーター設定が古い可能性があります。
iPhone・iPad
「設定」から「Wi-Fi」を開く
接続中SSIDの右側にある情報アイコンを選ぶ
「安全性の低いセキュリティ」などの警告がないか確認する
iOSは詳細なWPA種別を常に表示するわけではありません。警告が出る場合はルーター側でWPA2-AESまたはWPA3へ変更し、企業端末ではMDMプロファイルで接続先SSIDを制御します。
Android
「設定」から「ネットワークとインターネット」または「接続」を開く
接続中のWi-Fiを選び、歯車アイコンや詳細情報を開く
「セキュリティ」欄でWPA2、WPA3、なし等を確認する
Androidはメーカーにより表示名が異なります。「なし」「WEP」「WPA/WPA2 TKIP」と表示される場合は、業務システムや生成AIツールにアクセスしない運用が安全です。
Wi-Fiセキュリティの種類と選び方
Wi-Fi セキュリティの種類はWPA3-Onlyを最優先とし、非対応端末だけを別SSIDとVLANで隔離する構成が最も安全である。
Wi-Fiのセキュリティ設定で利用者が迷いやすい点は、OSの画面上で暗号化方式と認証方式が混在して表示されることです。以下の表では、家庭・法人の判断に必要な単位で整理します。
表示される種類 | 安全性 | 現在の扱い | 推奨判断 |
|---|---|---|---|
オープン、暗号化なし | 危険 | 通信が暗号化されない | 個人情報や業務利用では接続しない |
WEP | 危険 | RC4を使う旧規格で短時間に解読される | 即時停止、機器更新 |
WPA、WPA-TKIP | 非推奨 | WEPの暫定後継で脆弱性が多い | 使用禁止 |
WPA2-Personal AES | 標準 | 家庭や小規模環境で広く利用 | 最低ライン。強いパスワードが前提 |
WPA2-Enterprise | 高い | RADIUSでユーザーまたは端末を個別認証 | 法人の現実的な標準 |
WPA3-Personal | 高い | SAEにより辞書攻撃耐性を強化 | 個人・小規模では推奨 |
WPA3-Enterprise | 最推奨 | 192-bitセキュリティや証明書認証に対応 | 企業の目標構成 |
WPA3-Onlyを基本にする
WPA2/WPA3混在のTransition Modeは、古い端末を残した移行期には便利です。ただし、長期運用の設定ではありません。重要な業務PC用SSIDはWPA3-Only、プリンターやIoTなどのレガシー端末はWPA2専用SSIDに分け、VLANとファイアウォールで社内本番環境から切り離します。
6GHz帯ではWPA3、PMF、H2Eが前提になる
Wi-Fi 6EやWi-Fi 7の主要帯域である6GHz帯では、WPA3とPMFが必須です。WPA3-Personalでは、従来のHnPより安全なH2E方式が求められます。AP更新計画では、速度だけでなくクライアント端末のWPA3・H2E対応状況も棚卸し対象に含めます。
▲ 利用環境と端末の対応状況から最適なWi-Fiセキュリティ方式を判定するフロー
SSIDとネットワークセキュリティキーの正しい管理
SSIDは表札、ネットワークセキュリティキーは鍵であり、鍵を全員で共有する運用は企業規模が大きくなるほど破綻する。
SSIDはWi-Fiネットワークの名前です。ネットワークセキュリティキーは接続時に入力するパスワードで、暗号化にも使われます。SSID名を工夫しても、キーが弱い、または退職者や来訪者に共有されたままなら安全性は下がります。
初期SSID・初期キーの放置を避ける
ルーター本体のラベルに印字された初期キーは、来訪者や委託業者の目に入る可能性があります。SOHOや小規模拠点では、初期管理者パスワードとWi-Fiキーを導入時に必ず変更し、管理画面へのリモートログインを無効化します。パスワードは短い単語ではなく、十分に長いランダム文字列を使います。
SSIDステルスは安全対策として採用しない
SSIDを非表示にすると、端末側が過去に接続したSSIDを探すための信号を周囲へ出し続ける場合があります。攻撃者が同名のなりすましAPを用意すると、端末を誘導しやすくなります。SSIDステルスは管理の手間を増やす割に防御効果が低く、企業では証明書認証と接続先制御で対処します。
公衆Wi-FiではOpenRoamingも選択肢になる
カフェや駅のフリーWi-Fiでは、正規SSIDと似た名前のエビルツインに接続してしまう事故が起きます。Wireless Broadband Allianceが推進するOpenRoamingは、事前登録したIDや証明書で対応スポットへ自動接続する仕組みです。対応エリアは都市部から広がっており、出張・サテライトオフィス利用の標準接続先として検討できます。
Wi-Fiを狙う最新脅威と2026年の注意点
2026年のWi-Fiリスクは盗聴だけでなく、古いルーターのボット化、なりすましAP、シャドーITによる管理外通信まで含めて評価する必要がある。
公衆Wi-Fiへの不安は利用者側にも広がっている
総務省の令和7年版 情報通信白書(総務省公式)では、公衆無線LANを利用していない人の理由として「セキュリティ上の不安がある」が最多で、約6割を占めています。リモートワーク端末を公衆Wi-Fiへ自由に接続させる運用は、従業員の不安と企業の漏洩リスクを同時に増やします。
古いルーターは踏み台化される
サポート終了後のルーターは脆弱性修正が提供されず、DDoS攻撃や認証情報窃取の踏み台になります。中国系ハッカー集団Volt Typhoonの活動では、サポート切れ機器の悪用が問題視されました(CISA注意喚起:Volt Typhoon)。2026年2月にはDLPAがDLPA推奨ルーター2(DLPA公式)を策定し、Web設定画面の初期パスワード強固化やSSID・暗号化キーの機器固有化を要件にしています。
エビルツインとセッションハイジャック
HTTPSが普及しても、偽APへ接続した端末の通信経路や認証セッションが狙われる危険は残ります。攻撃者は正規SSIDに似た名称を使い、ログイン画面の偽装やCookie窃取を試みます。企業端末では、許可SSIDの配布、VPNまたはZTNA経由の接続、危険SSIDへの自動接続禁止を組み合わせます。
企業・情シスが陥りやすい失敗パターン
Wi-Fiセキュリティでやってはいけないことは、共通パスワード、Transition Mode常用、MACアドレス制限を安全対策として扱うことである。
失敗①:PSKの共有変更で乗り切ろうとする
WPA2-PersonalやWPA3-Personalは、1つのパスワードを全員で共有するPSK方式です。退職者が出た場合や端末紛失時には、実質的にパスワードが漏洩した状態になります。100台の端末で1台あたり再設定に5分かかると、単純計算で500分、約8.3時間の作業が発生します。50名を超えたらPSK定期変更ではなく、証明書単位で失効できるEAP-TLSへ移行します。
失敗②:WPA2/WPA3移行モードを安全だと誤解する
Transition Modeでは、WPA3対応端末も攻撃者の介入によりWPA2接続へ引き下げられるリスクがあります。Dragonbloodとして知られるWPA3関連の脆弱性は、JVN脆弱性情報(JVNVU#94228755)でも注意喚起されています。移行モードは期限付きとし、業務用SSIDはWPA3-Onlyへ寄せます。
失敗③:ゲストSSIDを作っただけで分離したつもりになる
マルチSSIDを作成しても、VLANやアクセス制御リストの設定が誤っていれば、来訪者端末から社内ファイルサーバーが見える状態になります。ゲストネットワークはインターネット出口のみ許可し、社内アドレス帯への到達を実機で確認します。設定後の疎通テストを省く運用は避けます。
失敗④:MACアドレス制限とSSIDステルスに頼る
MACアドレスは傍受と偽装が可能で、さらにiOSやAndroid、Windowsではプライベートアドレス機能が標準化しています。MACアドレス制限は棚卸し補助にはなっても、認証の代替にはなりません。接続可否は端末証明書、ユーザーID、デバイス準拠状態で判断します。
失敗⑤:家庭用ルーターをオフィスで使い続ける
バッファローの中小企業Wi-Fi調査(バッファロー公式プレスリリース)では、従業員50名未満の中小企業の72.7%がオフィスで家庭用Wi-Fiルーターを使用していたと公表されています。家庭用機器は同時接続数、管理機能、認証方式、ログ保全の面で法人用途に限界があるため、業務での使用は避けるべきです。
▲ 運用破綻を防ぐ「PSK(共通キー)方式」と「EAP-TLS(証明書)方式」の構造比較
企業Wi-Fiセキュリティの設定と対策手順
企業のWi-Fiセキュリティ対策は、棚卸し、暗号化方式の更新、証明書認証、ゼロトラスト接続の順に進めると失敗しにくい。
フェーズ別の実行計画
時期 | 実施内容 | 完了条件 |
|---|---|---|
1週目 | 全APのメーカー、型番、設置場所、SSID、暗号化方式、EOL日を台帳化 | 管理外APがゼロになる |
2〜4週目 | WEP、WPA、TKIP、オープンSSIDを停止 | 最低でもWPA2-AESへ統一 |
1〜3カ月 | 業務用SSIDをWPA3-OnlyまたはWPA2/WPA3-Enterpriseへ移行 | PSK共有を主要端末から廃止 |
3〜6カ月 | MDM、クラウドPKI、RADIUSを連携しEAP-TLSを展開 | 紛失端末は証明書失効だけで遮断可能 |
6カ月以降 | ZTNA、SASE、VLANでアクセス先を最小化 | 社内Wi-Fi接続だけでは重要システムへ入れない |
WPA3-EnterpriseとEAP-TLSを導入する
地方公共団体ガイドラインの令和7年3月改定では、無線LAN利用時にクライアント証明書を用いた機器認証が必須とされました。民間企業でも、退職者や私物端末を個別に排除できるEAP-TLSは有効です。Microsoft Intune、Jamf ProなどのMDMからWi-Fiプロファイルと証明書を配布し、RADIUS側で証明書の有効性を検証します。
社内Wi-Fiを信頼済み領域にしない
ゼロトラスト・ネットワーク・アクセス、つまりZTNAでは、接続元が社内Wi-Fiでも無条件に信頼しません。端末証明書、ユーザー認証、端末の準拠状態、アクセス先アプリの権限を都度評価します。ファイルサーバー、会計、人事、開発環境はネットワーク到達性だけで入れない設計にします。
情シス向けチェックリスト
全APのEOL日を管理台帳に記録した
WEP、WPA、TKIP、暗号化なしSSIDを停止した
業務用SSIDをWPA3-OnlyまたはEnterpriseへ移行した
レガシー端末用SSIDをVLANで隔離した
ゲストSSIDから社内アドレス帯へ到達できないことを確認した
MDMで許可SSIDと証明書を自動配布している
ファームウェア自動更新または定期更新の責任者を決めた
公衆Wi-Fi利用時のVPN、ZTNA、OpenRoaming方針を文書化した
▲ 企業におけるWi-Fiセキュリティ強化の5ステップ・ロードマップ
導入事例で見る証明書認証とゼロトラスト移行
国内企業の事例では、Wi-Fiを単独で強化するより、MDM、証明書、クラウドセキュリティを組み合わせた企業ほど運用負荷とコストを同時に下げている。
JBCCグループ:脱VPNとゼロトラスト型Wi-Fi
業種・規模:ITサービス・製造系グループ企業。導入時期:公開事例ベースで2020年代前半以降。課題:テレワークとSaaS利用の増加により、社内ゲートウェイとVPN帯域が圧迫されていました。施策:Wi-Fiからのアクセスをインターネット直出しに近い設計へ変え、端末認証とクラウドセキュリティを組み合わせました。成果:閉域網やVPN中心の回線コストを約80%削減したとされ、境界型防御からの移行事例として参考になります(JBCCグループ公式事例ページ)。
ペンティオ株式会社の検証モデル:Jamf ProとSecureW2の証明書自動配布
業種・規模:ID管理・セキュリティ支援。導入時期:公開検証モデル。課題:数百〜数千台のMacBookやiPhoneへ、Wi-Fi接続用証明書を手動インポートする運用は現実的ではありません。施策:Jamf ProやMicrosoft IntuneとクラウドPKI/RADIUSのSecureW2をSCEP連携し、管理下端末に証明書とWi-Fi設定を自動配布します。成果:ユーザーがパスワードを知らなくてもWPA3-Enterpriseへ接続でき、紛失時は該当証明書だけを失効できます(ペンティオ株式会社 公式ブログ・検証情報)。
キングランリニューアル株式会社:クラウド無線LANで運用負荷を削減
業種・規模:建設・リフォーム業、従業員約150名。導入時期:2023年公開事例。課題:フリーアドレス化に伴い、有線LAN中心の運用から無線LANへ移行する必要がありました。施策:キングランリニューアル株式会社のHypersonix導入事例(網屋公式)では、クラウド管理型無線LANにより設定更新と障害対応を外部運用と組み合わせました。成果:少人数の情シスでも拠点Wi-Fiの管理を継続しやすい構成を実現しています。
よくある質問
Wi-Fiセキュリティの疑問は、暗号化方式、確認方法、企業利用時の認証方式に分けると判断しやすい。
Q:Wi-Fiセキュリティとは何ですか?
A:Wi-Fiセキュリティとは、無線LAN通信を暗号化し、許可された端末やユーザーだけを接続させる仕組みです。現在はWPA2-AES以上が最低ラインで、企業ではWPA3-Enterpriseと証明書認証が推奨されます。
Q:Wi-Fiのセキュリティ確認方法は?
A:WindowsやAndroidでは接続中Wi-Fiの詳細画面で「セキュリティの種類」を確認できます。MacはWi-Fi詳細情報、iPhoneは「安全性の低いセキュリティ」などの警告表示を確認し、詳しい手順は本記事のOS別セクションを参照してください。
Q:Wi-Fiセキュリティの種類はどれが良いですか?
A:個人利用ではWPA3-Personal、非対応ならWPA2-AESを選びます。企業利用では共通パスワード方式を避け、WPA3-EnterpriseまたはWPA2-EnterpriseでEAP-TLSを使う構成が安全です。
Q:公衆Wi-FiはHTTPSなら安全ですか?
A:HTTPSは通信内容の保護に有効ですが、偽APへの誘導やセッションハイジャックのリスクは残ります。業務端末では許可SSID、VPNまたはZTNA、必要に応じてOpenRoamingを組み合わせます。
Q:WPA2/WPA3移行モードを使い続けても問題ありませんか?
A:移行モードは古い端末を残すための暫定設定であり、長期運用には向きません。重要な業務用SSIDはWPA3-Onlyにし、非対応端末は別SSIDとVLANで分離します。
まとめ
Wi-Fiセキュリティの最初の一歩は、今接続しているSSIDの暗号化方式を確認し、WEP、WPA、TKIP、暗号化なしを排除することです。企業では次に、全アクセスポイントの型番とEOL日を台帳化し、業務用SSIDをWPA3-Enterpriseと証明書認証へ移行します。
明日から着手するなら、以下のアクションを1つずつ実行してください。
✅ 社内APの暗号化方式とファームウェアバージョンを確認する
✅ WEP・WPA・TKIP・暗号化なしのSSIDを停止する
✅ 全APの型番・設置場所・EOL日を台帳に記録する
✅ ゲストSSIDから社内アドレス帯へ到達できないことを実機で確認する
✅ 管理者パスワードと自動更新の担当者を決める
台帳ができれば、古いルーターのリプレース、PSK共有の廃止、ZTNA連携まで優先順位を付けられます。
本記事の内容に誤り等がございましたら、こちらからご連絡ください。
監修
Admina Team
情シス業務に関するお役立ち情報をマネーフォワード Adminaが提供します。
SaaS・アカウント・デバイスの管理を自動化し、IT資産の可視化とセキュリティ統制を実現。
従業員の入退社対応や棚卸し作業の工数を削減し、情報システム部門の運用負荷を大幅に軽減します。
中小企業から大企業まで、情シス・管理部門・経営層のすべてに頼れるIT管理プラットフォームです。




