Wi-fiについて

Question

自宅での仕事において、職場から、「有線LANが必須で、勤務時間中は家族もWi-fiを使ってはいけない」という規則があった場合、それを無視していつも通りWi-Fi環境で仕事していたら、職場にはばれてしまうのでしょうか？

zircon3 · Accepted Answer

> 「有線LANが必須で、勤務時間中は家族もWi-fiを使ってはいけない」

システム開発の仕事を30年ほどしていました。
後半10年ほどはインターネット関連の開発やネットワーク構築などの仕事もしました。
その経験上、この規則に技術的意味・・・会社の機密情報を守るためのセキュリティー上の意味はありません。

社員が自宅で非常に古いWi-Fi親機（Wi-Fiルーター）を使っていると電波の内容を解析される危険があるため「古い暗号化方式をとっているWi-Fiルーターを使っていない社員は仕事で使うパソコンをWi-Fiで使わない事」という規則であれば意味があります。
しかし、それはあくまでもその社員の自宅のWi-Fi電波を受信できる範囲内（←自宅から半径数十m以内）に古いWi-Fi通信方式（正確には“Wi-Fi電波で飛ばすデータを暗号化する方式”(←具体的にはWEPという方式)）を解析して暗号化された内容を複合できるスキルと装置等を持った者がいた場合です。

また、社員とその家族がパソコンを共用しており、万一パソコンに何らかの悪意を持ったウィルスが感染してハードディスク等に保存していた仕事関連のファイルが流出する・・・ということを恐れているのであればWi-Fiと有線に差はありません。理由は電波の部分で誰かが割り込んでウィルスを埋め込むことはまず出来ないからです。
専門的なお話になるのでちょっと内容が難しいかもしれませんが、通信には相手に話を投げかける側（クライアント側）と、投げかけられたお話に応える側（サーバー側）があります。
パソコンは前者、Webサーバーやメールサーバーは後者です。
で。前車が話し掛けていない相手から前者に何らかの話し掛けがあっても前者はその言葉を受け取るどころか話し掛けられている事自体を認識できません。
つまりパソコン上のファイルを盗み取るにはまずはサーバー機能を持ったウィルスを埋め込まねばならないのです。その方法はいろいろありますが、その際にWi-Fiだとやりやすく有線LANだとやり難いということは全くありません。
ということでご質問の最初に書かれた規則は全くもって無意味、ナンセンスなものです。
加えて、社員が自宅から会社のサーバーなどにアクセスする際は会社のWebサーバーを介して行う（←社員はパソコン上のWebブラウザを使って会社の情報へのアクセスやファイルのダウンロード＆アップロードを行う）ようにされているのであれば、Wi-Fiの暗号化とは全く別にパソコン上のWebブラウザと会社のWebサーバー上のWebサーバープログラムとの間で暗号化を行うことが出来ます。普通、大切な情報のやりとりを行う場合にする方法で、この掲示板の参照や投稿もその方式をとっています。見分け方はURLの先頭がhttp://ではなくhttps://となっていることでし。こうなっていると通信内容を複合してどういうデータのやり取りをこなっているかを知る事は人の寿命という現実的な時間内ではまず不可能です。
フリーソフトを使うなどした安易なVPN環境の構築などをしていない限りは。。。

また、Wi-Fiを使っていることが通信内容から会社側に知れるか・・・と言う点ですが、これは「不可能」です。
理由は会社側の受け口にある通信装置に見える社員宅側の通信装置は自宅内のパソコンではなく社員宅のWi-Fiルーターだからです。正確にはそのWi-Fiルーターのインターネット側のIPアドレスとWi-Fiルーターが持つインターネット側の物理アドレス（←MAC(まっく)アドレスと呼ばれる値）で、Wi-Fiルーターが持つ自宅内側の通信方法などの情報は見えません。
ただし、会社内のWebサーバーにアクセスしているのであればWebサーバーでは知ろうと思えばアクセスしているパソコンのOSの種類とバージョン、アクセスするのに使用しているWebブラウザの種類とバーションなどはわかります。これはOSやWebブラウザの種類によってWebブラウザに返すデータの内容を変えねばならないことがあるため用意されている機能を使った場合です。しかしそこまでです。

そんな感じで。。。
参考まで。

wellow · Answer

＃８ですが、図が駄目駄目になってしまいますね。添付図にしてみました（初めて絵を張るのでできるかな？）。

wellow · Answer

＞家族がつかうための解決策は、もう一つプロバイダを契約するしかないでしょうか。

会社側が求める趣旨としては、そういうことだと思います。

以下のような構成にして（ルータはざっくりと3ポート別セグメントを構成できるもの）、

+--(seg2)--WiFi AP--家族のスマホ
                          |
WAN---BBルータ--(seg3)--ルータ
                          |
                          +--(seg1)--有線LAN--PC

以下のような設定をすれば、隔離されてはいます。

seg1 → seg2 deny
　seg2 → seg1 deny
　any  → any  permit

でも、そもそも会社側は社員側を信用していないので、「自分で買ったルータでセグメント分けして、ACLで隔離しています」と言ったところで、「信用していない奴の主張なんか信用するか」というところに落ち着く気もします。

wellow · Answer

＞ばれてしまう場合、どのようなメカニズムでばれるのか教えてください

会社支給のＰＣに、「ローカル環境を定期的、もしくはＰＣ起動時にスキャンして他ノードの検知をするようなプログラム」が仕込まれていれば可能です。例えばローカルＰＣのネットワークアドレス範囲内にのべつまくなしにＩＣＭＰ（pingとか）を発行すれば、たとえ相手がWindows FirewallとかでブロックしようともNICはARPに応答しますから、他の機器が存在することは分かります（そのIPアドレスを使っている機器のMACアドレスが分かるだけですが）。これはルータのIPアドレスも含まれます。もう少し工夫をしてポートスキャンをかけたり、SNMPポーリングをしてみると、雑な機器はcommunity名＝publicで応答を返すでしょう。

しかしながら、これは有線、無線を問いませんし、そもそもそんなソフトは「会社と自宅ＰＣ間はＶＰＮ接続」という前提を無視するようなものですので、「どんだけ、パラノイアな情シスなんだよ」という感覚です。目的のためには手段は選ばずとはいえ、「そこがセキュリティホールになるネタだよ」と突っ込み所が満載です。やっているかやっていないかで言えば、多分８割以上の確率でそんなことはしていないはずですが、Skyseaとかに相当する監視プログラム（日立製作所なんかにもある）を入れているようであれば、やっているかもしれないですね。

＞職場から、「有線LANが必須で、勤務時間中は家族もWi-fiを使ってはいけない」という規則

精神論に近い規則ですね。それで安心だと思える感覚が、ほんわかしていて癒されます。どうせなら、IPSecのDFグループをデフォルトでは使わないとか、雑なプリシェアードキーは使わないとかを期待するところです。もっとしっかりしているようですと、コンピュータ認証とユーザ認証が個々に行われ、PCを支給されているあなたにも秘密鍵は開示されていないとか、そもそもユーザID/パスワードに頼ることなく、トークンID生成機を支給するとか、会社支給のIDカードを読み込まないとログインさえできないとか、そういう感じになります。

zircon3 · Answer

No.5です。

> Wi-Fiも作動している場合、これでも会社支給のPCだとばれてしまう可能性がありますか？
> （もう一つ契約するとなるとお金がかかるので困ります。Wi-Fi禁止ということに異を唱えることはできません）

非常に重要なことを一つ！

質問者様が言われているWi-Fiとは「インターネット側の通信には携帯電話回線を使用し、インターネットを利用したいパソコンやスマートフォンといった端末機器との間の通信にはWi-Fiを使用する通信機器」ですか？
でしたら会社側のインターネット接続の入口にある通信機器に残る「何時、誰が接続に来たか」を記録したログを見て、「誰が」を示すIPアドレスがどの組織のものであるかをインターネットの機能を使って確認すれば携帯電話会社が使用しているIPアドレスであることがわかります。つまり上に書いたような通信機器・・・ポケットWi-Fiとかモバイルルーターと呼ばれる機器を使ってインターネット接続していることがバレます。これはSoftbankのSoftbank Airなどの据え置き型の通信機器であっても同じです。

先に当方が書きましたのはWi-Fiと言われる環境が「自宅に光回線やケーブルテレビ回線を引き込んだインターネット環境があり、そこに家電量販店で購入したり回線業者のオプションでレンタルしたWi-Fiルーターを加えた」ものの場合です。

参考まで。

て2くん · Answer

＞それを無視していつも通りWi-Fi環境で仕事していたら、職場にはばれてしまうのでしょうか？

バレた場合はね。
有線LANだと、24時間週7日接続しても切れることはない。
でも、無線LANって、電波の悪さなりで、切れてしまうことはある。ただ、切れたときに電波状態が悪いとなると、バレることになるね。
会社の支給パソコンとか会社が指定した監視ソフトを入れている場合は、バレるかもしれませんね。

＞会社からWi-fiを禁止されると家族がネットを使えなくて困るので、それを防ぐ方法があればしりたいです。

あらたに回線を引くか、NTT東西のフレッツなら、ISPをもう1つ契約して、マルチセッションで2つのISPに接続して、片方は、あなた個人。でも、もう1つは、家族ってなると問題ないと解釈出来る。

そもそも、なぜ、家族が無線LANを接続してはダメなのかって、客観的な説明を求めて下さい。
会社のセキュリティー部門に問い合わせれば説明出来るはずですけどもね。

無線LANっていくら暗号化しても、不安定で切断される場合がある。2.4Ghz帯なら、電子レンジなどの影響を受けることがある。
だから、禁止ってのは納得は分かる。

そもそも、なぜ家族がダメなのかは、はっきりいって、納得出来る説明を会社に求めて下さい。
家族が盗聴を・・・ってなら、そもそも、VPN接続すれば済む話だってことになりますからね。セキュリティーを気にするなら、VPNをしろってなりますので。

銀鱗 · Answer

リモートアクセスで自宅にある端末のLAN状態を監視。
（当然その監視を停止すれば、要注意端末として別の監視を強化される）

VPN接続を必要とするなら…
＞有線LANが必須で、勤務時間中は家族もWi-fiを使ってはいけない
…は有りでしょう。

ほい3 · Answer

会社が専用WIFIを支給なら有りですが、個人の用意したWIFIを会社で独占
しようというなら、意味が分かりません。

「有線LANが必須で、勤務時間中は家族もWi-fiを使ってはいけない」という以上
会社専用に光回線引くので、毎月の支払は、会社で良いですかと聞きましょう。
毎月6000円くらいかかります。

また、光なら現実的には、家族がWIFIで映画見ようが問題ありません。

＞いつも通りWi-Fi環境で仕事していたら、職場にはばれてしまうのでしょうか？
ネットワーク使用情報が分かるソフトが貴方のパソコンの業務アプリに仕込んであれば
メールなどの自動発信などで利用情報を得る事は不可能ではないでしょう。

銀鱗 · Answer

はい。

Wi-fiについて

> 「有線LANが必須で、勤務時間中は家族もWi-fiを使ってはいけない」

＃８ですが、図が駄目駄目になってしまいますね。

＞家族がつかうための解決策は、もう一つプロバイダを契約するしかないでしょうか。

＞ばれてしまう場合、どのようなメカニズムでばれるのか教えてください

No.5です。

＞それを無視していつも通りWi-Fi環境で仕事していたら、職場にはばれてしまうのでしょうか？

リモートアクセスで自宅にある端末のLAN状態を監視。

会社が専用WIFIを支給なら有りですが、個人の用意したWIFIを会社で独占

はい。

似たような質問が見つかりました

このQ&Aを見た人はこんなQ&Aも見ています

関連するカテゴリからQ&Aを探す

このQ&Aを見た人がよく見るQ&A

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング