「安全な来客用Wi-Fi」

1. はじめに

店舗、カフェ、ホテル、ゲストルーム、待合室、イベント会場などでは、来客向けにWi-Fiを提供することが当たり前になっています。

しかし、Wi-Fiを「インターネットにつながればよい設備」と考えてしまうと、次のような事故につながります。

• 来客端末から業務用PCやPOSレジにアクセスされる
• 防犯カメラ、プリンター、予約端末が同じネットワークに入っている
• Wi-Fiパスワードが何年も変わっていない
• 店舗スタッフ用Wi-Fiとお客様用Wi-Fiが同じ
• 管理画面のパスワードが初期値のまま
• 古いルーターを使い続け、更新されていない
• カフェ利用者同士の端末が見えてしまう
• ゲストルーム間で端末やテレビが見えてしまう
• 誰がどのWi-Fiを使ってよいか、社内ルールがない

Wi-Fiは便利な設備ですが、セキュリティ上は「外部の人が自社ネットワークの近くまで入ってくる入口」です。
そのため、店舗・カフェ・宿泊施設では、業務用ネットワークと来客用ネットワークを明確に分離することが最重要です。

2. 本講義のゴール

本講義のゴールは、以下の4点です。

1. 店舗・カフェ・ゲストルームで起きやすいWi-Fiリスクを理解する
2. 業務用・来客用・管理用ネットワークを分離する考え方を身につける
3. WPA3、ゲスト分離、VLAN、ファイアウォールなどの基本設定を理解する
4. 現場で使えるWi-Fi運用ルールとチェックリストを作れるようにする

3. 結論：安全なWi-Fi設計の基本方針

店舗・カフェ・ゲストルームのWi-Fi設計では、次の考え方を原則にします。

基本方針

• お客様用Wi-Fiと業務用Wi-Fiを分ける
• POS、レジ、予約端末、防犯カメラ、スタッフPCは来客用Wi-Fiに入れない
• 来客同士の端末を見えないようにする
• 管理画面は店舗内の限られた管理用端末からのみ操作する
• 暗号化方式はWPA3を優先する
• 古いWEP、WPA、TKIPは使わない
• パスワードは定期的に変更する
• ファームウェアを更新する
• サポート終了機器は使い続けない
• Wi-Fiの利用条件、禁止事項、問い合わせ先を明示する

4. Wi-Fi設計で最も危険な勘違い

勘違い1：パスワードをかけているから安全

Wi-Fiにパスワードがあっても、業務用ネットワークと来客用ネットワークが同じであれば危険です。

たとえば、お客様が接続するWi-Fiと、POSレジ、予約端末、店舗PC、プリンター、防犯カメラが同じネットワークにある場合、来客端末から業務機器が見えてしまう可能性があります。

重要なのは、パスワードの有無だけではありません。
どの端末が、どのネットワークに入り、どこまで通信できるかを制御することです。

勘違い2：SSIDを隠せば安全

SSIDを非表示にしても、Wi-Fiの存在自体を完全に隠せるわけではありません。
SSID非表示は、本質的なセキュリティ対策ではありません。

本当に重要なのは、次の対策です。

• 強い暗号化方式を使う
• 強いパスワードを使う
• ゲスト分離を有効にする
• VLANでネットワークを分ける
• 管理画面へのアクセスを制限する
• 不要な機能を無効化する

勘違い3：MACアドレス制限をすれば安全

MACアドレス制限は補助的な対策にはなりますが、それだけで安全とは言えません。
MACアドレスは偽装される可能性があるため、主要な防御策として過信してはいけません。

勘違い4：カフェ用Wi-Fiだからオープンでよい

パスワードなしのオープンWi-Fiは、通信内容の盗聴やなりすましのリスクが高まります。
どうしてもオープンWi-Fiを提供する場合でも、Enhanced Open、キャプティブポータル、利用規約、端末分離、帯域制限、ログ管理などを組み合わせる必要があります。

ただし、キャプティブポータルは「利用規約に同意させる仕組み」であり、通信を暗号化する仕組みではありません。
ここを混同してはいけません。

5. Wi-Fiの利用区分

店舗・カフェ・ゲストルームでは、Wi-Fiを最低でも次のように分けて考えます。

重要なのは、「同じWi-Fi名を使っているか」ではなく、「同じネットワークに入っているか」です。

6. 推奨ネットワーク構成

推奨構成

インターネット
    │
回線終端装置 / ONU
    │
ルーター / UTM / ファイアウォール
    │
VLAN対応スイッチ
    ├── VLAN10：業務用
    ├── VLAN20：POS・決済用
    ├── VLAN30：来客用
    ├── VLAN40：IoT・防犯カメラ用
    └── VLAN99：管理用
            │
      法人向けアクセスポイント

ポイント

家庭用ルーター1台で全てをまかなう構成は、小規模な店舗では一見簡単ですが、業務用・来客用・IoTを安全に分けるには限界があります。

店舗や宿泊施設では、できれば次の機器を使います。

• VLAN対応ルーター
• VLAN対応スイッチ
• 法人向けアクセスポイント
• ゲスト分離機能付きAP
• クラウド管理型AP
• ファイアウォールまたはUTM

7. SSID設計例

店舗・カフェ向け

ゲストルーム・宿泊施設向け

ゲストルームでは、部屋同士の通信が見えない設計が重要です。
101号室の宿泊者端末から、102号室のスマートTV、プリンター、キャスト機器、PCが見えてはいけません。

8. 暗号化方式の選び方

推奨順位

実務上の考え方

理想はWPA3です。
ただし、古い端末、古いPOS、古いプリンター、古いIoT機器がWPA3に対応していない場合があります。

その場合は、いきなり全てをWPA3専用にするのではなく、以下の順番で移行します。

1. 現在接続している端末を棚卸しする
2. WPA3対応・非対応を確認する
3. 業務影響の少ない時間にテストする
4. 来客用からWPA3化する
5. スタッフ用をWPA3化する
6. 古い機器はIoT専用ネットワークに隔離する
7. サポート終了機器は更新計画を作る

9. パスワード設計

悪いパスワード例

• shop1234
• cafe2026
• guestwifi
• password
• 12345678
• 店名＋電話番号
• 店名＋開店年
• レシートにずっと印字されている固定パスワード

推奨パスワード

• 12文字以上
• 英大文字
• 英小文字
• 数字
• 記号
• 店名や住所を含めない
• 推測されにくい
• 定期的に変更する
• 退職者・外部業者が知っている場合は変更する

例

Cafe!Blue_7392_River
Guest-2026!Nami#48
NKTS-WiFi!72-Sakura

ただし、講義では実例をそのまま本番で使わないように説明します。

10. 来客用Wi-Fiの必須設定

来客用Wi-Fiでは、以下を必須設定とします。

必須設定

• 業務LANへのアクセス禁止
• 管理画面へのアクセス禁止
• 端末同士の通信禁止
• プリンター・POS・NAS・カメラへのアクセス禁止
• 帯域制限
• 長時間接続の制限
• 利用規約の表示
• 違法利用禁止の明記
• 問い合わせ先の明記
• パスワードの定期変更

来客用Wi-Fiの通信ルール

来客端末 → インターネット：許可
来客端末 → 業務PC：拒否
来客端末 → POS：拒否
来客端末 → 防犯カメラ：拒否
来客端末 → プリンター：拒否
来客端末 → ルーター管理画面：拒否
来客端末 → 他の来客端末：拒否

この設定を「ゲスト分離」「クライアント分離」「AP isolation」などと呼びます。
メーカーによって名称が異なります。

11. 店舗で特に注意すべき機器

店舗では、以下の機器を来客用Wi-Fiに接続してはいけません。

• POSレジ
• 決済端末
• 予約管理端末
• 業務用PC
• スタッフ用タブレット
• NAS
• 請求書発行用PC
• プリンター
• 防犯カメラ
• スマートロック
• 勤怠端末
• 社内チャット端末
• 会計ソフト利用端末

特にPOSや決済端末は、インターネットに出られればよいのではなく、どこからアクセスされるかを厳しく制限する必要があります。

12. カフェで特に注意すべきポイント

カフェでは、不特定多数の利用者が短時間で入れ替わります。
そのため、以下のリスクがあります。

• 利用者同士の端末が見える
• 長時間利用者による帯域占有
• 違法ダウンロードや迷惑行為
• 店舗回線の踏み台利用
• 業務用ネットワークへの侵入
• 偽アクセスポイントによるなりすまし
• Wi-FiパスワードのSNS拡散

カフェ向け推奨設定

• 来客用SSIDは業務用と完全分離
• 端末間通信を禁止
• 1端末あたりの速度制限
• 1回あたりの接続時間制限
• 営業時間外はゲストWi-Fi停止
• パスワードは定期変更
• QRコード掲示は店内限定
• 店外まで電波が強く漏れないよう出力調整
• 利用規約を掲示

13. ゲストルームで特に注意すべきポイント

ゲストルームや宿泊施設では、カフェとは別のリスクがあります。

• 部屋同士の端末が見える
• スマートTVやキャスト機器が別室から見える
• 前の宿泊者が同じパスワードを知っている
• 客室IoT機器が外部から操作される
• 清掃スタッフ用端末と宿泊者用端末が混在する
• 管理用ネットワークに宿泊者が入る

ゲストルーム向け推奨設定

• 部屋ごとにネットワークを分離
• 宿泊期間ごとにパスワードを変更
• 端末間通信を原則禁止
• 客室TV、スマートロック、IoT機器は専用ネットワークへ分離
• 管理用Wi-Fiは非公開・管理者限定
• 長期滞在者向けには個別パスワードを発行
• チェックアウト後に接続権限を無効化

14. キャプティブポータルの位置づけ

キャプティブポータルとは、Wi-Fi接続時に利用規約やログイン画面を表示する仕組みです。

できること

• 利用規約への同意を取得する
• メールアドレスやSNSログインを求める
• 利用時間を制限する
• 店舗案内を表示する
• クーポンや案内を表示する
• 不正利用時の追跡に必要な最低限の記録を残す

できないこと

• 通信を自動的に暗号化する
• 業務LANを守る
• 端末同士の通信を必ず遮断する
• 偽アクセスポイントを完全に防ぐ
• 利用者の端末を安全にする

つまり、キャプティブポータルは「受付」であって、「防御壁」ではありません。
防御はVLAN、ファイアウォール、ゲスト分離、暗号化方式で行います。

15. 管理画面の保護

Wi-Fiルーターやアクセスポイントの管理画面は、最重要の保護対象です。

管理画面に入られると、次のようなことが可能になります。

• Wi-Fiパスワードの変更
• DNSの改ざん
• 偽サイトへの誘導
• ポート開放
• VPN設定の変更
• 管理者アカウントの追加
• ファームウェアの改ざん
• ログ削除
• 業務ネットワークへの侵入

管理画面の対策

• 初期ID・初期パスワードを変更
• 管理者パスワードは強固にする
• 管理画面をインターネット側に公開しない
• 来客用Wi-Fiから管理画面にアクセスさせない
• 管理用VLANからのみアクセス可能にする
• 管理者を限定する
• 可能であれば多要素認証を使う
• 管理ログを確認する
• 不要な管理アカウントを削除する

16. 無効化すべき機能

以下の機能は、便利ですがリスクが高いため、原則として無効化を検討します。

17. ファームウェア更新と機器寿命

Wi-Fi機器は、購入して設置したら終わりではありません。
ルーターやアクセスポイントにも脆弱性が見つかることがあります。

運用ルール

• 月1回、管理画面で更新確認
• 自動更新機能があれば有効化
• 更新前に設定バックアップ
• 更新後にSSID、VLAN、通信制御を確認
• サポート終了機器は更新計画を作る
• 5年以上使っている機器はリスク評価する
• 管理者不明の機器は撤去・再設定する

サポート終了機器は、セキュリティパッチが提供されません。
脆弱性が見つかっても直せないため、店舗や宿泊施設では使い続けるべきではありません。

18. 電波設計もセキュリティの一部

Wi-Fiセキュリティというとパスワードや暗号化に目が行きますが、電波設計も重要です。

注意点

• 店舗外まで電波が強く漏れすぎないようにする
• 隣接店舗に届きすぎないよう出力を調整する
• 駐車場や道路から長時間接続できないようにする
• APの設置場所を見直す
• 2.4GHzと5GHzを使い分ける
• 混雑する場所ではチャンネル設計を行う
• 店舗奥の業務エリアだけ別SSIDにする

電波は壁を越えます。
ネットワーク設計では、「誰がどこから接続できるか」まで考える必要があります。

19. ログ管理とプライバシー

来客用Wi-Fiでは、トラブル対応のためにログを残すことがあります。
ただし、ログを取ればよいという話ではありません。

考えるべきこと

• 何のためにログを取るのか
• どの範囲のログを取るのか
• 誰がログを見られるのか
• どのくらい保存するのか
• 利用者にどう説明するのか
• 外部提供することがあるのか
• 問い合わせや事故時にどう対応するのか

ログの例

• 接続日時
• 端末のMACアドレス
• 割り当てIPアドレス
• 接続SSID
• 接続時間
• 認証結果
• 通信量

通信内容そのものを記録する必要は、通常ありません。
必要最小限、目的明確、保存期間明確、アクセス権限限定が基本です。

20. 利用規約に入れるべき項目

来客用Wi-Fiを提供する場合は、簡単でもよいので利用条件を明示します。

利用規約の項目例

• 本Wi-Fiは来店者・宿泊者向けサービスであること
• 業務妨害、不正アクセス、迷惑行為を禁止すること
• 違法ダウンロードや著作権侵害を禁止すること
• 通信速度や接続品質を保証しないこと
• セキュリティ確保のため利用を制限する場合があること
• 必要に応じて接続記録を保存する場合があること
• 機密情報の送受信は利用者自身の責任で行うこと
• VPNやHTTPS等の利用を推奨すること
• 問い合わせ先

21. 現場でよくある危険な構成

NG構成1：全部同じWi-Fi

Staff-WiFi
  ├── 店員スマホ
  ├── POSレジ
  ├── 防犯カメラ
  ├── プリンター
  ├── お客様スマホ
  └── 業務PC

これは最も危険な構成です。
来客端末、業務端末、決済端末、カメラが同じネットワークに入ってはいけません。

NG構成2：ゲストWi-Fiはあるが分離されていない

Guest-WiFi
  └── 実は社内LANと同じセグメント

SSIDだけ分けても、内部ネットワークが同じなら意味がありません。
SSID分離ではなく、ネットワーク分離が必要です。

NG構成3：古いルーターをそのまま使っている

2015年購入の家庭用ルーター
  ├── ファームウェア未更新
  ├── 管理パスワード初期値
  ├── WPS有効
  ├── UPnP有効
  └── WPA2/WPA混在

小規模店舗で非常に多いパターンです。
セキュリティ事故の入口になります。

22. 推奨設定チェックリスト

暗号化

• WPA3を使用している
• WPA2を使う場合はAESのみ
• WEPを使用していない
• WPAを使用していない
• TKIPを使用していない
• 古い端末用の例外SSIDを分離している

ネットワーク分離

• 業務用と来客用を分けている
• POS・決済端末を分離している
• 防犯カメラを分離している
• IoT機器を分離している
• 管理用ネットワークを分離している
• VLANまたは物理分離を使っている

来客用Wi-Fi

• インターネットのみ許可している
• 社内LANへのアクセスを禁止している
• 端末間通信を禁止している
• 管理画面へのアクセスを禁止している
• 帯域制限を設定している
• 接続時間制限を設定している
• 利用規約を掲示している

管理

• 管理パスワードを変更している
• 管理者を限定している
• 外部から管理画面に入れない
• WPSを無効化している
• UPnPを無効化している
• ファームウェアを更新している
• 設定バックアップを保存している
• サポート終了機器を使っていない

運用

• Wi-Fi台帳がある
• SSID一覧がある
• パスワード管理者が決まっている
• 変更履歴を残している
• 月1回点検している
• 退職者・外部業者対応時にパスワードを変更している
• インシデント時の連絡先が決まっている

23. Wi-Fi台帳の例

24. インシデント対応の考え方

Wi-Fiに関するトラブルが起きた場合は、次の順番で確認します。

初動対応

1. 該当SSIDを確認する
2. 影響範囲を確認する
3. 業務LANへのアクセス有無を確認する
4. 管理画面の設定変更履歴を確認する
5. 不審端末を確認する
6. 必要に応じてゲストWi-Fiを一時停止する
7. パスワードを変更する
8. ファームウェアを更新する
9. ログを保全する
10. 再発防止策を記録する

よくある対応

• パスワード変更
• 不審端末の遮断
• ゲストSSIDの停止
• VLAN設定確認
• AP再起動
• 管理パスワード変更
• 設定バックアップから復旧
• 機器交換

25. 小規模店舗向けの現実的な導入ステップ

いきなり高度なネットワークを組めない店舗もあります。
その場合は、段階的に改善します。

第1段階：最低限の安全化

• 管理パスワード変更
• WPA3またはWPA2 AESに設定
• WEP/WPA/TKIP禁止
• WPS無効化
• ファームウェア更新
• ゲストWi-Fiを有効化
• 業務用と来客用のSSIDを分ける

第2段階：ネットワーク分離

• 業務用と来客用を別ネットワークにする
• 端末間通信を禁止
• 管理画面へのアクセス制限
• 防犯カメラ・IoTを分離
• POSを分離

第3段階：法人向け構成

• VLAN対応ルーター導入
• VLAN対応スイッチ導入
• 法人向けAP導入
• クラウド管理
• ログ管理
• 認証強化
• 運用台帳整備

26. 講義用ケーススタディ

ケース1：カフェのWi-Fi

あるカフェでは、来客用Wi-Fiのパスワードをレシートに印字していました。
しかし、そのWi-Fiには店舗のプリンターと予約管理タブレットも接続されていました。

問題点

• 来客と業務機器が同じネットワーク
• パスワードが広く拡散する可能性
• 端末間通信が可能
• 業務機器が見える可能性
• パスワード変更ルールがない

改善案

• 来客用SSIDを完全分離
• 端末間通信禁止
• 予約端末は業務用SSIDへ移動
• プリンターは業務用または専用VLANへ移動
• ゲストWi-Fiの接続時間を制限
• 月1回パスワード変更
• 利用規約を掲示

ケース2：ゲストルームのWi-Fi

宿泊施設で、全室同じSSID・同じパスワードを使用していました。
宿泊者のスマホから、別の部屋のスマートTVが表示されていました。

問題点

• 客室間の分離ができていない
• キャスト機器が別室から見える
• 過去の宿泊者もパスワードを知っている
• 長期間パスワードが変わっていない

改善案

• 部屋ごとにネットワーク分離
• チェックアウト後にパスワード変更
• 客室TVは部屋単位で分離
• 管理用ネットワークを別にする
• 宿泊者用Wi-Fiはインターネットのみ許可
• 長期滞在者には個別認証を発行

ケース3：店舗のPOSとWi-Fi

ある店舗では、POSレジ、決済端末、スタッフスマホ、来客Wi-Fiが同じ家庭用ルーターに接続されていました。

問題点

• 決済環境と来客環境が混在
• 侵入時の影響範囲が大きい
• ログが取れない
• 管理者が不明確
• サポート終了ルーターの可能性

改善案

• POS・決済端末は専用ネットワークへ分離
• 可能ならPOSは有線接続
• 来客Wi-Fiはインターネットのみ許可
• 法人向けAPに更新
• 管理用ネットワークを分ける
• 機器台帳を作成する

27. 講師用まとめ

Wi-Fi設計で最も重要なのは、暗号化方式だけではありません。

本当に重要なのは、次の3つです。

1. 誰が接続するのか
2. どこに通信できるのか
3. 誰が管理するのか

店舗・カフェ・ゲストルームでは、不特定多数または外部利用者がWi-Fiに接続します。
そのため、来客用Wi-Fiは「社内ネットワークの一部」ではなく、「外部に近い危険なネットワーク」として扱う必要があります。

安全なWi-Fi提供とは、単にパスワードを貼り出すことではありません。
業務を守り、利用者を守り、店舗の信用を守るためのネットワーク設計です。

28. 受講者向け確認問題

問1

来客用Wi-Fiと業務用PCを同じネットワークに入れてはいけない理由を説明してください。

問2

SSIDを分けるだけでは不十分な理由を説明してください。

問3

キャプティブポータルでできること、できないことを説明してください。

問4

WEP、WPA、TKIPを使ってはいけない理由を説明してください。

問5

カフェで来客用Wi-Fiを提供する場合、最低限必要な設定を5つ挙げてください。

問6

ゲストルームで部屋同士の通信が見えてしまう場合、どのような改善が必要ですか。

29. 最終チェックリスト

安全なWi-Fi提供のために、最後に以下を確認します。

• お客様用Wi-Fiと業務用Wi-Fiは分離されているか
• POS・決済端末は来客用Wi-Fiから見えないか
• 防犯カメラやIoT機器は分離されているか
• 管理画面は来客用Wi-Fiから開けないか
• WPA3またはWPA2 AESを使っているか
• WEP、WPA、TKIPを使っていないか
• WPS、UPnP、リモート管理を無効化しているか
• ファームウェアは最新か
• サポート終了機器を使っていないか
• 端末間通信は禁止されているか
• 利用規約は掲示されているか
• Wi-Fi台帳はあるか
• パスワード変更ルールはあるか
• インシデント時の対応手順はあるか

30. 結論

店舗、カフェ、ゲストルームのWi-Fiは、サービス品質だけでなく、セキュリティ設計が重要です。

来客に便利なWi-Fiを提供しながら、業務用ネットワーク、決済環境、個人情報、店舗の信用を守る必要があります。

Wi-Fiは「無料サービス」ではなく、外部利用者をネットワークに入れる重要な設備です。
安全なWi-Fi設計の基本は、暗号化、分離、管理、更新、運用ルールです。

この5つを押さえることで、店舗・カフェ・ゲストルームのWi-Fiは、便利でありながら安全なインフラになります。