5分で埋める! セキュリティの穴 第2回:ひと手間で無線LANを守る
活用度は高いが安全度は?
屋外などモバイル環境での利用のイメージが強い無線LANだが、オフィス内での利用価値も高い。たとえば不特定多数のユーザーが集まる会議室や打ち合わせルームに設置すれば、わざわざたくさんのLANケーブルを持ち込まなくても手軽にネットを利用することができるようになる。常にハブなどのポート数やケーブルの数に制限を受ける有線LANに対して、無線LANはひとつで(アクセスポイントなどの最大接続数はあるものの)電波の届く範囲のPC全てをカバーすることができる。
また、社内のレイアウト変更などの場合にもネットワークの引き直しといった作業が不要になる。固定のデスクを持たず、いつ誰がどこに座ってもいいというレイアウトフリーのオフィスを作りたい場合にも、ケーブルの制約を受けずにネットワークを引くことが可能だ。有線の引きにくい場所にネットワークを導入することもできる。オフィスは物理的にさまざまな制限を受けるが、ネットワークの面では無線化することでかなり自由にレイアウト可能になるのだ。
しかし、一方で問題になるのがセキュリティだ。無線LANというと、いまだに「面倒くさい」「セキュリティ的に危険」といったイメージを抱く人も多いのではないだろうか。何しろ目に見えるものでも管理するのは簡単なことではない。ましてや無線は目に見えないネットワークだ。目に見えないものを守れといわれても、わけがわからず途方に暮れてしまう人も少なくないはずだ。
実際無線LANのセキュリティ対策はまだまだ十分とは言えない。無線LAN搭載のノートPCやPDA端末などを持ち歩いている人はわかると思うが、現在ではオフィス街にも住宅街にも無数の無線LANネットワークが張り巡らされている。さすがに多くのものは暗号化などのセキュリティ対策が行なわれているが、時折いまだになんのセキュリティもかかっていないネットワークも少なからず目にすることがある。警視庁生活安全局情報技術犯罪対策課が2009年3月にまとめた「不正アクセス行為対策等の実態調査調査報告書」でも、12.7%の企業・団体が無線LANのセキュリティ対策を「特に行なっていない」と回答している。いくら無線LANのセキュリティ技術が高度になっても、ユーザー側が何の対策もせずにいたら、意味はない。暗号化が行なわれていない場合、誰でも社内ネットワークに侵入して内部のデータにアクセスしたり、通信データを傍受したりすることが可能になってしまう。 |  |
|
佐藤氏は無線LANのセキュリティに対するネガティブなイメージについてこう指摘する。「無線LANが企業に導入されはじめたのは2000~2001年頃のことなんですが、その当時はセキュリティ対策を行なわずに導入する例も多く、盛んにセキュリティの問題がニュースで取り上げられたのです。それによって『無線LANは危険』というイメージが定着してしまったという部分もあります」。
普及当初に比べ、現在では暗号化技術なども高度になっており、正しく運用すれば、ビジネスでの使用にも十分な安全性を保てる。では、使用に際して実際にはどんなことをしておけばよいのだろうか?
3つの暗号化方式のどれを選ぶか?
無線LANのセキュリティ対策にはさまざまなアプローチがあるが、暗号化のレベルとしては大雑把に次の4段階が考えられる。
- 暗号化なし
- WEP方式
- WPA(2)-PSK方式
- WPA(2)-EAP方式
次にWEPキーと呼ばれる暗号キーを用いる方式。この方式は無線LANの暗号化方式としては古典的なもので、前述の「不正アクセス行為対策等の実態調査調査報告書」でも49.2%と実に半数近い企業がこの方式を利用している。しかし、WEP方式は「現状セキュリティとは呼べなくなっている」と佐藤氏は警告する。
「WEP方式は固定の暗号化キーを利用しており、暗号化されてはいるのですが、すでにその解読方式が公になってしまっています。悪意を持って暗号化を破ろうと思えばできてしまうのです」。
これに対して、WPA(2)-PSK方式は、可変式の暗号を用いた形式だ。AES方式とTKIP方式の2種類の暗号化方式が存在するが、このうちAES方式は暗号化の解読方法が公になっていない。この方式ならばまずは安心だ。
WPA(2)-EAP方式は、暗号化の方式としてはWPA(2)-PSKと同じだが、こちらはIEEE802.1x方式でクライアントPCの認証を行なう。-PSK方式の場合、暗号キーは共通のものを用いるため、たとえば社員が退社した場合などには、改めて暗号キーを変更しないと、その社員はいつでも社内ネットワークにアクセスできることになってしまう。だが、-EAP方式の場合、ユーザー(PC)ごとに個別で認証を行ない、ユーザーごとに別の暗号キーを使用するため、誰かが退社した場合なども、そのユーザーの認証だけ解除すれば良い。ただし、この方式にはユーザーの認証を行なうためのRADIUSサーバというサーバが必要になり、運用にはある程度の知識とコストが必要になる。
|
無線LANの暗号化方式。 ※クリックで拡大 |
もちろんセキュリティレベルは高いに越したことはないが、完全に自分ひとりで利用しているようなケースでは、ユーザー認証を行なう必要性はほとんどないだろう。逆にスタッフの入れ替わりが多く、社内の情報漏洩リスクが高い場合などは、多少のコストを払ってでもWPA(2)-EAPによるセキュリティ管理を行なう必要も出てくるだろう。
どの方式を使えるかは無線LANルータやアクセスポイント(AP)の種類によっても変わる。たとえば、現在のバッファロー製品の場合なら、コンシューマ・SOHO向け製品であればWPA2-PSK方式、法人向けモデルであればWPA2-EAP方式まで対応している。すでに自社に無線LANを導入している場合は、まずどの方式に対応しているかチェックするところから始めてみるといいだろう。
[5分でできるポイント1]
暗号化方式の基本を知る
- 社内機器の対応方式をチェックする
今すぐしておくべき設定は?
すでにきちんとIT担当者が無線LANの管理を行なっている場合は問題ないが、そうでない場合、まず何をチェックすればいいだろうか? 佐藤氏は今すぐできる対策としてまず暗号キーの設定を挙げる。
「ありがちなのは買ってきたAPやルータをそのまま使ってしまうというケースです。『暗号化なし』のまま使っているという方は、まずは暗号を設定していただきたいですね。できればWPA2-EAP方式(AES)が望ましいです。 また、最近デフォルトで暗号化設定されているAPも増えていますが、企業でそのまま使用するのは危険です。 AP筐体の裏面などに暗号化キーが表示されている為、外部からの訪問者が暗号化キーを知ってしまう可能性もあります。デフォルトのまま使用せず、変更していただきたと思います」。
だが、技術的に万全であっても、安全とはならないのがセキュリティだ。情報漏洩やセキュリティトラブルは、内部統制や社内ルールが問題になるケースも少なくない。無線LANの場合であれば、前述のように退職したスタッフから暗号キーや情報が漏れてしまう可能性もある。また、そもそもスタッフ全員が暗号キーを知っていること自体がセキュリティリスクでもある。暗号キーが漏れてしまえば、高度なセキュリティ技術も無意味になってしまう。
「無線LANの管理者を決めて、そのほかのユーザーには暗号キーを開示しないというのも対策のひとつです。各ユーザーのPCに無線LANの設定をする場合も、管理者が行なうようにしてユーザーにはわからないようにしておく方がいいでしょう。また、せっかく暗号キーを開示しないようにしていても、APやルータにアクセスすればセキュリティの設定がわかってしまいます。APやルータにもパスワードを設定して、ほかのユーザーが設定画面にアクセスできないようにしておくといいでしょう」。
設定するだけでなく、それをどう管理するかというのが、無線LANに限らずセキュリティのひとつの大きな課題だ。決まった担当者がいなければ、場合によっては経営者自らが責任を持って社内セキュリティの管理を行なう必要があるだろう。いまや情報はビジネスのひとつの資産だ。それを守ることも経営の一環になってくる。
[5分でできるポイント2]
- 無線LANの管理担当者を決める
- 暗号を設定する
- ルータやAPの出荷時に設定してあるデフォルトの暗号キーを変更する
- 管理者以外のユーザーには暗号キーを公開しない
- ルータ、APの設定画面にパスワードを設定する
無線LAN機器選びのポイントは?
一口に無線LAN機器といってもさまざまなモデルがある。これから社内に無線LANを導入する場合、どんな点に着目して選べばいいか、佐藤氏に聞いてみた。
「当社の場合、大きく分けてコンシューマ・SOHO向けモデルと法人向けモデルで製品を分けています。(前述のWPA2-EAP方式への対応などを含め)機能面での違いもありますが、法人向けモデルはまず部品の選定から変えています。個人と法人では扱っているデータの量や内容も違います。ビジネスでの使用に耐えられるように、法人向けの製品は部品レベルから信頼性の高いものを使用していますし、保証期間も1年保証のコンシューマ向け製品と違い、3年間の無償保証を付けています。通信の安定度などもやはり法人向けのモデルの方が高いです」。
価格面では法人向けのラインナップの方が高いが、その分信頼性や安定性が高く、結果的に長期間に渡って使用できることが見込める。また、最初から法人向けのモデルを選んでおけば、いざWPA2-EAP方式でセキュリティ対策を行なうと決めた場合に、機器の買い直しも必要ない。ある程度の規模拡大を見込んでいるのであれば、法人向けのモデルを購入しておくのも手だ。
また、混乱しやすいのは通信方式だ。現在無線LANの一般的な規格として802.11a/11b/11g/11n(ドラフト段階)の4つがある。簡単に説明すると、11b/11gは2.4GHz帯域を利用しており、互換性がある。11aは5GHz帯域を利用した規格であり、11a、11gの最大通信速度は54Mbpsと規定されている。一方11nという規格は、アンテナを同時に使う通信方式であり最大通信速度は300Mbpsと規定されている。まだ正式策定前のドラフト段階だが、すでに多くのメーカーPCに搭載されており、対応したAPもリリースされている。
802.11nに対応したAPは大きく分けて3種類ある。802.11b/g/nと表記された2.4GHz帯域専用のものと、802.11a/b/g/nと表記され、2.4GHzと5GHzを同時に使えるものあるいは、2.4GHzと5GHzを切替えて使用するものである。
「無線LANは遅いというイメージを持っている方もいると思いますが、11nの登場で速度も十分に出るようになりました。現在販売されている多くのノートPCにはすでに11nでの通信機能が搭載されています。今から買うのであれば、11n対応のものがオススメです。それと、企業での使用ということであれば、11aでの通信もオススメです。11b/gが使用している2.4GHz帯というのは、電子レンジやゲーム機、Bluetooth機器などさまざまな機器が使っている周波数帯でもあります。周辺でこうした機器が通信していたり、電子レンジを使用していたりすると、混線して通信速度が落ちることもありますからね」。
自社の環境や、今後どう展開していくかなど、無線LAN機器選びも経営のビジョンと照らし合わせながら考えていくといいだろう。
