ネットワークセキュリティというと、大企業のITマネージャーが懸念するような問題のように聞こえますが、一般家庭のユーザーであっても、小規模なホームネットワークを放置しておくべき理由があります。これは、ハッカーやマルウェアが外部から侵入するのを防ぐだけでなく、接続されたデバイスに不正アクセスして覗き見するのを防ぐことも意味します。そして言うまでもなく、インターネットを閲覧するすべてのデバイスに、可能な限り最高の保護を提供する必要があります。
このガイドでは、ネットワーク セキュリティのさまざまな側面について説明し、生活を複雑にすることなくプライバシーを強化し、ハッキングやマルウェアのリスクを軽減するために何ができるかを紹介します。
さらに読む:スマートルーター設定でWi-Fiの問題を解決
ルーターのセキュリティ保護
ほとんどの家庭では、ルーターはローカルネットワークの中心ハブであると同時に、ネットワークと広大なインターネットを結ぶゲートウェイでもあります。接続されたデバイスとインターネット間、または接続されたデバイス同士の間のすべてのトラフィックは、ルーターを通過します。
つまり、安全なホーム ネットワークにとって最も重要なのは、弱いパスワードを通じて不正な人が侵入したり、ハッカーやマルウェアに乗っ取られたりしない、安全なルーターです。
強力なパスワード
まず、ルーターの管理画面に、強力で固有のパスワードを設定しましょう。可能であれば、ルーターのユーザー名も変更してください。ルーターに脆弱性が見つかり、正しいパスワードが容易に推測されてしまうような場合でも、固有のユーザー名を設定することで自動ログインの試みを阻止できます。
鋳造所
管理インターフェースでhttpsを有効にする
ルーターの設定でhttps(暗号化接続)が有効になっていない場合は、有効にしてください。設定は通常、パスワードと同じ場所にあります。暗号化接続がないと、ローカルネットワーク上の権限のないユーザーが簡単にパスワードを傍受し、ルーターを乗っ取ってしまう可能性があります。
Wi-Fiの名前とパスワードを変更する
ほとんどのルーターは、工場出荷時にランダムに選ばれた無線ネットワーク名と、同様にランダムなパスワードが設定されています。これで十分だと思い込み、安心しきれなくなることがあります。しかし、これは大きな間違いです。なぜなら、これらのネットワーク名は見た目ほどランダムではなく、簡単に回避できることが長年にわたり何度も実証されているからです。また、ランダムなネットワーク名(SSIDとも呼ばれます)はルーターのメーカー名を明らかにしてしまうため、攻撃の標的になりやすくなります。
そのため、一意のネットワーク名(ご近所の方が同じメーカーのルーターを使っている場合、ネットワークを認識しやすくなります)と長くて安全なパスワードに変更しましょう。一般的な単語をランダムに組み合わせたパスワードを強くお勧めします。文字列を入力するよりも、手入力で入力する方がはるかに簡単です。
wpa2を選択
ワイヤレスネットワークへの接続セキュリティを確保するため、多くの場合、WPAプロトコルの複数のバージョンから選択できます。一部のルーターでは、依然としてWPA1(通常は単にWPAと呼ばれます)を使用するようにプリセットされていますが、これは時代遅れの規格であり、完全に安全とは言えません。今日のほとんどのデバイスはWPA2またはWPA3をサポートしているため、最初はWPA3のみを使用することをお勧めします。その後、自宅のデバイスがネットワークに接続できない場合は、ルーターの設定に戻ってWPA2/WPA3に変更できます。このオプションが利用できない場合は、WPA2のみを選択できます。
このオプションが利用可能な場合は、保護された管理フレームと呼ばれる機能を有効にすることもできます。
鋳造所
ファイアウォールをオンにする
ほとんどのルーターには簡易ファイアウォールが組み込まれています。ファイアウォールがオンになっていることを確認し、オフになっている場合は有効にしてください。
不要な機能をオフにする
多くのルーターには、かつては安全だと思われていたり、何らかの理由で必要だと思われていた機能が多数搭載されていますが、今では不要になっています。ここでは、避けるべき機能をいくつかご紹介します。
隠しSSID
ほとんどのルーターにはWi-Fiネットワークを非表示にする機能があり、接続可能なネットワークとして表示されなくなります。問題は、どうしても接続したい人にとっては、依然として非常に簡単に見つけられてしまうことです。そのため、あなただけでなく、そのネットワークを使用する他のユーザーにとっても、状況はより複雑になります。
アップnp
ユニバーサルプラグアンドプレイ(UPNP)は、外部からネットワークサービスへのアクセスを可能にする時代遅れの技術です。オープンインターネットからアクセスすることを想定しておらず、ネットワークを脆弱な状態に陥らせます。後になって、本当に必要な機能のためにこの機能の有効化が必要だと気づいた場合にのみ、有効化してください。
ワット
Wi-Fi Protected Setup(WPS)も、プリンターなどのユーザーインターフェースを持たないガジェットをネットワークに接続しやすくするための、時代遅れの技術です。しかし、セキュリティ上の欠陥が知られており、最近のガジェットはQRコードなどの他の方法で接続しています。
MACフィルター
すべてのネットワークデバイスには、ハードウェアアドレス(MACアドレスとも呼ばれます)があります(AppleのMacコンピュータと混同しないでください)。ルーターのMACフィルターは、MACアドレスを追加していないデバイスは接続できないことを意味します。唯一の問題は、ハッカーがデバイスのアドレスを簡単に複製してフィルターをすり抜けることができ、新しいガジェットの接続がはるかに困難になることです。
リモートログ
一部のルーターには、インターネットから自宅のIPアドレスに接続してログインし、設定を変更できる機能があります。これは危険な行為であり、セキュリティを脅かす可能性があります。
鋳造所
ゲストネットワークを使用する
多くのルーターには、ゲストネットワークと呼ばれる別のワイヤレスネットワークを作成する便利な機能が搭載されています。ゲストネットワークに接続されたデバイスはインターネットにアクセスできますが、通常のネットワーク上のコンピューターや他のデバイスにはアクセスできません。通常、ゲストネットワークとデバイス間の接続もできませんが、一部のメーカーではこのルールが破られています。
一部のルーターでは、複数のゲストネットワークを作成できます。これにより、ネットワークをセグメント化し、最も重要なデバイスを保護できます。例えば、セキュリティ上の問題がある可能性のあるスマートホーム製品をゲストネットワークに接続すれば、ハッキングされたデバイスがハッカーにコンピューター、スマートフォン、ルーターへのアクセスを試みさせる機会を与えることがありません。
より高度なルーターや、Open WRTなどの代替ソフトウェアをインストールしたルーターでは、VLANと呼ばれる技術を用いて、異なる種類のセグメント化されたネットワークを構築できます。例えば、インターネットにアクセスできないスマートホームデバイス用のネットワークを構築し、通常のネットワークとの十分なアクセスを提供することで、例えばスマートホームプラットフォーム「Home Assistant」を使ってデバイスを制御できるようになります。この点については、後ほど詳しく解説します。
鋳造所
ネットワーク上の全員のための暗号化されたDNS
今日では、ブラウザとウェブサイト間のトラフィックのほとんどは暗号化されており、通信内容を知ることができるのはあなたと接続先のウェブサイトだけです。しかし、ドメイン名の検索など、インターネットトラフィックの中には依然として透過的なものもあります。
例えば、DNSシステムはwww.pcforalla.seをIPアドレスに変換します。インターネットサービスプロバイダーにはDNSサーバーがあり、ルーターは通常、すべてのドメイン名の検索をこのサーバーに転送します。つまり、プロバイダーはユーザーがアクセスしたウェブサイトに関する多くのデータを取得することになります。
暗号化されたDNSを使用することで、こうした監視から身を守ることができます。設定は多少異なりますが、dns-over-tls(ドット)またはdns-over-https(ドット)と呼ばれるものを探してください。暗号化されたDNSを提供する主要な事業者はいくつかありますが、最もよく知られているのはCloudflareです。
アップデートを忘れないでください
ルーターはインターネット上で最も脆弱なデバイスの一つであり、ハッカーは常にルーターを大量に乗っ取ってボットネットの一部にするための脆弱性を探しています。
ルーターにファームウェアアップデートを自動インストールする設定がある場合は、オンにすることを強くお勧めします。設定されていない場合は、少なくとも月に1回はアップデートを確認するためのリマインダーを設定することをお勧めします。
接続されたガジェットを常に最新の状態に保つことも重要です。コンピューター、モバイル、タブレットはアップデートの通知が表示されるので覚えやすいですが、プリンター、テレビ、様々なスマートホーム製品など、他のガジェットも忘れてはいけません。
フィン
接続されたガジェットを追跡する
定期的にネットワークをスキャンして、接続されているすべてのデバイスを確認することをお勧めします。不正なデバイスが検出されなかったとしても、例えば、アップデートが必要な可能性のあるガジェットを知らせてくれるなど、便利な機能があります。
一部のルーターには、接続されているすべてのデバイスの名前、IPアドレス、MACアドレスを表示する機能が組み込まれています。ルーターにこの機能がない場合は、Fingなどのパソコン用プログラムを使用できます。
見覚えのないデバイスが表示されても心配しないでください。接続されたガジェットの多くは、奇妙なデバイス名を付けます。Fingは、デバイスのメーカーを判別できるため、すべてのデバイスを簡単に識別できるため、このような場合に適しています。
外出時はルーターの電源を切る
数日以上家を留守にする場合は、ルーターの電源を切ることをお勧めします。これにより、部外者による侵入や、自宅のデバイスが不必要にインターネットと通信するのを防ぐことができます。
ただし、たとえば、外部からアクセスできるようにしたいスマート監視カメラがある場合や、何らかの接続されたアラーム(たとえば、盗難や水漏れ用)がある場合などは例外となります。
ルーターの追加のセキュリティ機能をオンにする
多くのルーターには、ネットワークに接続するユーザーやユーザーを保護するための追加のセキュリティ機能が搭載されています。例えば、ASUSにはAI Protectやペアレンタルコントロールといった機能があります。
このような機能は、例えばネットワークトラフィックを分析して既知の悪意のあるサイトへの接続をブロックしたり、特定のデバイス(例えば子供)のインターネットの一部をブロックしたりすることができます。メーカーによって機能が異なるため、お使いのルーターで利用可能な機能や有効にする価値のある機能をここで詳しく説明することはできませんが、ルーターの設定をよく確認し、機能についてより詳しい情報をお探しください。
接続されたガジェットのアカウントを保護する
今日、家庭内の多くのコネクテッドデバイスは、リモートアクセスやアップデートなどのためにメーカーアカウントを使用しています。これらのデバイスがインターネットにアクセスできる限り、アカウントはセキュリティリスクとなります。アカウントに侵入したハッカーは、あなたをスパイすることができます。その程度は、接続されたデバイスによって異なりますが、最も危険なのはコネクテッドカメラです。ハッカーはカメラの前で起こるすべての出来事を監視(および録画)できるためです。
これらのガジェットは、例えばHomeKitやHome Assistant経由でのみ使用し、ファイアウォールでインターネットがブロックされている別のネットワークに配置することで、インターネットに接続せずに使用することも可能です。時間や手間をかけたくない場合は、これらのアカウントをできる限り保護することが重要です。安全で固有のパスワードを設定し、二要素認証を有効にするか、キーログインに切り替えるなどしてください。
鋳造所
外部にポートを開かないでください
かつては、アプリケーションが他のデバイスにインターネット経由で直接アクセスすることを要求するのが一般的でした。アドレス変換機能を備えたルーターの背後にあるデバイスの場合、これはポート転送技術を使用してルーターを開くことを意味していました。これは、様々なファイル共有サービス、チャットプログラム、ゲームで当てはまりました。例えば、一部のXboxゲームでは、ルーターからゲーム機にポート3074を転送する必要がありました。portforward.comというウェブサイトには、数千ものゲームやプログラムと、それらに必要なポートがリストされています。
最近のプログラムやゲームはほぼ完全に他のネットワーク技術に移行しており、ポートを開く必要はありません。ルーターのポート転送設定を確認し、不要になったポート転送を削除してください。
ルーターに外部に開いているポートがあるかどうかを調べるには、例えば著名なセキュリティ研究者スティーブ・ギブソン氏が開発したShields Upを使う方法もあります。このサイトは直感的ではありませんが、画面下部の「すべてのサービスポート」をクリックすると、一般的なポートがすべてチェックされます。より高度な方法としては、nmapプログラムがあります。このプログラムを使うと、VPNサービスに接続することで、外部からルーターをスキャンできます。
この記事はもともと当社の姉妹誌 PC för Alla に掲載され、スウェーデン語から翻訳およびローカライズされました。
