Wi-FiルーターとWi-Fiアクセスポイントの推奨設定

最大限のセキュリティ、パフォーマンス、信頼性を確保できるよう、Apple製品で使われるWi-Fiルーター、ベースステーション、アクセスポイントを以下のように設定しておくことを推奨します。

この記事の情報は、ネットワーク管理者や、各自でネットワークを管理しているユーザを主に対象としています。Wi-Fiネットワークへの接続をお試しの際は、以下のいずれかの記事を参考にしてください。

• Macでインターネットに接続する

• iPhone、iPad、iPod touchでWi-Fiに接続する

• Apple Vision ProでWi-Fiに接続する

Wi-Fiのプライバシーとセキュリティの警告について

Apple製のデバイスにWi-Fiネットワークについてプライバシーの警告や安全性の低いセキュリティの警告（プライベートWi-Fiアドレスに関する警告など）が表示される場合、そのネットワークからデバイスの情報が漏洩するおそれがあります。Wi-Fiネットワークの管理者の方には、この記事で紹介しているセキュリティ基準を満たすか、またはその基準から逸脱しないよう、Wi-Fiルーターの設定を変更しておくことを推奨します。Wi-Fiネットワークの管理者ではない方は、この設定をネットワーク管理者に確認してもらってください。

ルーターの設定

設定を変更する前に、万一既存の設定を復元しなければならなくなった場合に備えて、設定内容をバックアップしておきます。また、ルーターのファームウェアが最新であることを確認し、お使いのApple製デバイスの最新のソフトウェアアップデートをインストールしてください。設定の変更後に、該当するネットワークに接続したことがある各デバイスで、そのネットワークの設定を削除しておく必要があります。そうすれば、デバイスがネットワークに接続する際に、確実にルーターの新しい設定を使うようになります。

お使いのApple製デバイスがネットワークに安全かつ確実に再接続されるように、各Wi-Fiルーターやアクセスポイントに、また、デュアルバンド、トライバンド、その他のマルチバンドルーターの各周波数帯に、以下の設定を一貫して適用してください。

• セキュリティ

• ネットワーク名（SSID）

• 非表示のネットワーク

• MACアドレスのフィルタリング

• ファームウェアの自動アップデート

• 無線モード

• 周波数帯

• チャネル

• チャネル幅

• DHCP

• DHCPリース時間

• NAT

• WMM

• DNSサーバ

セキュリティ設定によって、ルーターで使用する認証方式や暗号化の種類、また、そのネットワークで伝送されるデータのプライバシー保護の程度が決まります。どちらの設定を選択した場合でも、ネットワークに接続する際に必要となるパスワードは、必ず強力なものを設定してください。

• WPA3パーソナル：Wi-Fiデバイスで利用できるものの中では、現時点で最も安全で最新のプロトコルです。Wi-Fi 6（802.11ax）に対応するすべてのデバイス、および一部の古いデバイスで利用できます。

• WPA2/WPA3 移行（Transitional）：WPA3パーソナルに対応するデバイスではWPA3パーソナルを使い、古いデバイスでは代わりにWPA2パーソナル（AES）を使える混合モードです。

• WPA2パーソナル（AES）：これより安全性の高いモードを使えない場合に適した選択肢です。その場合は、暗号化の種類としてAESを併せて選択してください（可能な場合）。

ルーターで避けるべき脆弱なセキュリティ設定

廃止された古いセキュリティプロトコルを使うネットワークを作成したり、そうしたネットワークに接続したりしないでください。これらは現在では安全性に乏しく、ネットワークの信頼性やパフォーマンスも損ないます。そうしたネットワークに接続しようとすると、デバイスにセキュリティ警告が表示されます。

• WPA/WPA2 混合モード

• WPAパーソナル

• WEP：WEP Open、WEP Shared、WEP Transitional Security Network、ダイナミックWEP（WEPおよび802.1X）など

• TKIP：名前にTKIPを含むすべてのセキュリティ設定

セキュリティを無効にする設定（「なし」「オープン」「セキュリティ保護なし」など）は使用を控えるよう強くお勧めします。セキュリティを無効にすれば、認証も暗号化も行われなくなり、第三者がネットワークに接続し、共有リソース（プリンタ、コンピュータ、スマートデバイスなど）にアクセスし、インターネット接続を使用し、閲覧したWebサイトや、ネットワークまたはインターネット接続で伝送されるデータを監視するといった事態を許すことになります。これは危険な状態であり、セキュリティを一時的に無効にする場合や、ゲストネットワークに対して無効にする場合でも同様です。

SSID（Service Set Identifier）は、ほかのデバイスから識別できるように、ネットワークが公表している名前です。近くにあるデバイス上で、利用可能なWi-Fiネットワークのリストに表示される名前です。

• ネットワーク上のすべてのルーターで、対応するすべての周波数帯に同じ名前を使うようにします。2.4 GHz、5 GHz、または6 GHzの周波数帯に異なる名前を付けた場合、そのネットワーク、そのネットワーク上のすべてのルーター、またはルーターが対応しているすべての周波数帯に、デバイスから安定して接続できなくなるおそれがあります。ルーターがWi-Fi 6Eネットワークに対応していて、すべての周波数帯で同じ名前が使われていない場合、Wi-Fi 6E対応のApple製デバイスは、そのネットワークは互換性が制限されていると判断します。

• ネットワークに固有の名前を使ってください。たとえば、一般的な名前や、デフォルトの名前としてよく使われる「linksys」「netgear」「dlink」「wireless」「2wire」などは使わないようにしましょう。使った場合、そのネットワークに接続したデバイスが、同じ名前のほかのネットワークに遭遇する確率が高くなり、その場合は、同名の別ネットワークに自動的に接続しようとします。

ルーターは、ネットワーク名（SSID）を非表示にするように設定可能です。ルーターによっては、非表示である状態を「非公開」、非表示ではない状態を「ブロードキャスト」と称する場合もあります。

ネットワーク名を非表示にしたからと言って、そのネットワークが検知されなくなったり、不正アクセスから保護されたりするわけではありません。デバイスがWi-Fiネットワークを検索し、接続する仕組みがゆえに、非表示のネットワークを使っていると、個人や、その個人が使っている非表示ネットワーク（ホームネットワークなど）を特定可能な情報が漏洩するおそれがあります。非表示のネットワークに接続している場合は、こうしたプライバシーのリスクを警告するメッセージがデバイスに表示されることがあります。

ネットワークへのアクセスを保護するには、代わりに適切なセキュリティ設定を使ってください。

この機能を有効にした場合、指定したMAC（Media Access Control）アドレスを割り振られたデバイスだけがネットワークに接続できるように、ルーターを設定できます。ネットワークへの不正アクセス対策をこの機能だけに頼ることは、以下の理由から、おやめください。

• ネットワークの観察者が、ネットワーク上のトラフィックを監視または傍受することは阻止しきれません。

• MACアドレスは簡単にコピー（偽装）または変更できてしまいます。

• ユーザのプライバシーを守るため、一部のApple製デバイスはWi-Fiネットワークごとに違うMACアドレスを使います。

ネットワークへのアクセスを保護するには、代わりに適切なセキュリティ設定を使ってください。

可能であれば、ソフトウェアやファームウェアアップデートがリリースされた時点で自動的にインストールするようにルーターを設定してください。アップデートすれば、利用できるセキュリティ設定も変わる可能性があり、ルーターの安定性、パフォーマンス、セキュリティを向上する重要な改良が見込めます。

無線モードの設定は、2.4 GHz帯、5 GHz帯、6 GHz帯で別々に設定可能で、ルーターがワイヤレス通信に使うWi-Fi規格のバージョンを制御します。バージョンが新しいほどパフォーマンスも向上し、同時に対応可能なデバイスの数も増えます。

通常いちばんいいのは、ルーターで使えるモードの一部だけでなく、全部を有効にしておくことです。そうすれば、古いデバイスも含めてすべてのデバイスが、それぞれが対応している中で最速の無線モードを使って接続できます。近くにあるレガシーのネットワークやデバイスからの干渉を軽減するという効果もあります。

Wi-Fiの周波数帯は、データが流れる道筋のようなものです。周波数帯が多いほど、ネットワークのデータ転送量やパフォーマンスが向上します。

ルーターの各周波数帯は、道路の車線のように、複数の独立した通信チャネルに分かれています。チャネルを自動選択する設定になっている場合、ルーターが最適なWi-Fiチャネルを自動で選んでくれます。

ルーターがチャネルの自動選択に対応していない場合は、ご利用のネットワーク環境でいちばんパフォーマンスを発揮できるチャネルを選択してください。これは、ネットワーク環境におけるWi-Fi干渉（同じチャネルを利用するほかのルーターやデバイスからの干渉など）によって変わってきます。ルーターを複数設置していて、特に互いの距離が近い場合は、それぞれで別々のチャネルを使うように設定してください。

チャネル幅によって、データを転送する「パイプ」の太さが決まります。幅が広いチャネルほど高速ですが、干渉の影響を受けやすく、ほかのデバイスに干渉する確率も上がります。

• 2.4 GHzの周波数帯では20 MHzにしておくと、ほかのWi-Fiネットワークや2.4 GHzデバイス（Bluetoothデバイスなど）が近くにあると起こりやすいパフォーマンスや信頼性の問題を回避できます。

• 5 GHzおよび6 GHzの周波数帯では、自動設定にするか、すべてのチャネル幅を有効にしておけば、最大限のパフォーマンスを引き出しつつ、すべてのデバイスとの互換性を確保できます。これらの周波数帯では、ワイヤレス干渉が問題になりにくい傾向にあります。

DHCP（Dynamic Host Configuration Protocol）は、ネットワーク上のデバイスにIPアドレスを割り振ります。各IPアドレスがそれぞれネットワーク上の1台のデバイスを識別し、デバイスはそのアドレスのおかげでネットワークやインターネット上のほかのデバイスと通信できるようになります。電話に電話番号が必要なように、ネットワークデバイスにはIPアドレスが必要です。

ネットワークにはDHCPサーバを1台だけ設置してください。複数のデバイス（ケーブルモデムとルーターの両方など）でDHCPが有効になっていると、アドレスが競合し、一部のデバイスがインターネットに接続できなくなったり、ネットワークリソースを使えなくなったりする場合があります。

DHCPリース時間は、デバイスに割り当てられたIPアドレスが、そのデバイス用に予約される時間の長さです。

通常、Wi-Fiルーターがネットワーク上のデバイスに割り当てることのできるIPアドレスの数には限りがあります。上限数まで使い尽くすと、ルーターは新しいデバイスにIPアドレスを割り当てることができなくなり、それらのデバイスは当然ネットワークやインターネット上のほかのデバイスと通信できません。DHCPリース時間を短くすれば、使われなくなった古いIPアドレスをルーターが早い段階で回収し、再び割り当てられるようになります。

NAT（Network Address Translation）は、インターネット上のアドレスとネットワーク上のアドレスとの変換を担います。NATの役割は、会社の住所に届いた社員宛ての郵便物を、社内のその社員がいる部屋宛てに仕分ける担当者のような存在といえます。

一般的に、NATはルーターでのみ有効にします。複数のデバイス（ケーブルモデムとルーターの両方など）でNATが有効になっている場合は「二重NAT」となり、デバイスがネットワークやインターネット上の特定のリソースにアクセスできなくなる事態になりかねません。

WMM（Wi-Fi Multimedia）は、ネットワークトラフィックに優先順位を付けて、ビデオや音声など、さまざまなネットワークアプリケーションのパフォーマンスを向上させます。Wi-Fi 4（802.11n）以降に対応しているルーターならどれでも、デフォルトでWMMが有効になっているはずです。WMMを無効にすると、ネットワーク上のデバイスのパフォーマンスや信頼性に影響が生じます。

デバイスがインターネット上のWebサイトに簡単にアクセスできるようにするには、DNS（Domain Name System）サーバによってドメイン名（apple.com など）をIPアドレスに変換する必要があります。デフォルトで、ルーターはインターネットサービスプロバイダ（ISP）のDNSサーバを使用します。別のDNSサーバを使用するよう設定しておくと、デバイスはルーターのネットワークに接続している間、デフォルトでそのサーバを使用するようになります。

暗号化されたDNSトラフィックがネットワークでブロックされているという警告がデバイスに表示された場合は、設定済みのDNSサーバを引き続き使用することもできますが、そのネットワーク上でデバイスがアクセスするWebサイト名とほかのサーバ名は暗号化されないため、同じネットワーク上のほかのデバイスによって監視または記録される可能性があります。ISPやほかのDNSプロバイダに詳細をお問い合わせいただくこともできますが、まず以下の解決策をお試しください。ソフトウェアが最新であり、セキュリティ設定が推奨設定になっていることを確認してください。デバイスを再起動します。ルーターを再起動します。Wi-Fiネットワークの設定を削除した後、再び接続します。

Wi-Fi接続に影響する可能性のある機能

以下の機能は、ルーターや、ルーターに接続するデバイスの設定方法に影響する場合があります。

プライベートWi-Fiアドレス

iPhone、iPad、Apple Watch、Apple Vision ProからWi-Fiネットワークに接続する場合は、これらのデバイスでプライベートWi-Fiアドレスを使う方法をこちらの記事でご確認ください。

位置情報サービス

国や地域ごとに、その場所で使えるWi-Fiチャネルやワイヤレス信号の強度が規制されているため、Wi-Fiネットワークに対して位置情報サービスを有効にしておいてください。位置情報サービスを使えば、デバイスから近くのデバイスを確実に認識して接続できるようになり、Wi-FiやWi-Fiありきの機能（AirPlay、AirDropなど）の使用時のパフォーマンスも向上します。

macOS Ventura以降を搭載したMac

1. Appleメニュー >「システム設定」の順に選択し、サイドバーで「プライバシーとセキュリティ」をクリックします。

2. 右側で「位置情報サービス」をクリックします。

3. アプリやサービスのリストの一番下までスクロールしてから、「システムサービス」の横の「詳細」をクリックします。

4. 「ネットワークとワイヤレス」をオンにして、「完了」をクリックします。

macOS Monterey以前を搭載したMacの場合

1. Appleメニュー >「システム環境設定」の順に選択し、「セキュリティとプライバシー」をクリックします。

2. ウインドウの隅にあるカギのアイコン をクリックし、管理者のパスワードを入力します。

3. 「プライバシー」タブで、「位置情報サービス」を選択し、「位置情報サービスを有効にする」を選択します。

4. アプリやサービスのリストの一番下までスクロールしてから、「システムサービス」の横の「詳細」をクリックします。

5. 「ネットワークとワイヤレス」（または「Wi-Fiネットワーク」）を選択し、「完了」をクリックします。

iPhone、iPad、Apple Vision Proの場合

1. 「設定」>「プライバシーとセキュリティ」>「位置情報サービス」の順に選択します。

2. 「位置情報サービス」をオンにします。

3. リストの一番下までスクロールし、「システムサービス」をタップします。

4. 「ネットワークとワイヤレス」（または「Wi-Fiネットワーク」）をオンにします。

通信事業者のWi-Fiネットワーク利用時の自動接続

通信事業者のWi-Fiネットワークは、通信事業者やその提携会社が整備している公共ネットワークです。iPhoneやモバイル通信に対応するその他のApple製デバイスは、こうしたネットワークを常に既知の管理対象ネットワークとして認識し、自動的に接続します。「設定」の「Wi-Fi」でネットワーク名の下に「プライバシーに関する警告」と表示される場合、通信事業者のWi-Fiネットワークを偽装している不正なホットスポットにデバイスが自動的に接続していて、モバイル通信上のIDが漏洩しているおそれがあります。こうしたリスクを回避し、デバイスがネットワークに自動的に接続しないようにするには、そのネットワークへの自動接続をオフにしておきます。

1. 「設定」>「Wi-Fi」の順に接続します。

2. 画面の右上の「編集」をタップして、デバイスで接続したことがあるネットワークを表示します。

3. リストの「管理対象ネットワーク」セクションまで下にスクロールし、通信事業者の公共ネットワークを表示します（リストのこのセクションは編集できません）。

4. ネットワーク名の横にある詳細情報ボタンをタップし、そのネットワークの自動接続をオフにします。