1. 自社は大丈夫?社内無線LANに必要なセキュリティ対策

自社は大丈夫?社内無線LANに必要なセキュリティ対策

  • このエントリーをはてなブックマークに追加

最近では、企業のオフィスでも据え置き型のデスクトップPCの利用頻度が減り、ノートPC(ラップトップ)が一般的となっています。フリーアドレスやフリースペースでの業務などの働き方も変革し、オフィス内のネットワークにおいて無線LANの利用頻度が高まる一方、有線LANによるネットワークとは通信方式もセキュリティ対策も異なるため、無線LANならではのセキュリティ対策が必要です。

無線LANにおける2つのセキュリティリスク


無線LANを運用するにあたって、大きく分けると以下の2つのリスクが存在します。

1. 通信の傍受
無線LANはその性質上、電波が広く拡散されるため、物理的にネットワークに接続しなければ情報を得られない有線LANと比べると、通信の傍受のリスクが非常に高くなります。オフィス外でも電波の届く範囲であればどこでも通信を傍受できるため、ネットワークが暗号化されていない場合や暗号化の強度が低い場合には簡単に情報を傍受されてしまうリスクがあります。

2. 不正アクセス
無線LANネットワークは基本的に誰でもアクセスが可能です。もちろん、無線LAN機器にはアクセスポイントへの認証機能が備わっていますが、無線LANの規格であるIEEE802.11にはセキュリティのリスクがあり、悪意のある人間に簡単にアクセスを許してしまいます。個人利用の場合には、ネットワーク回線を無断で利用されるだけで済みますが、企業の場合には基幹システムにアクセスされ、個人情報や重要な情報の漏洩のリスクにさらされる事になります。

図1 不正アクセス

リスクがつきまとうとはいえ、業務の利便性を考えると無線LANを使用しないという選択肢を取りにくい場合が多いのも事実です。無線LANを運用するためのセキュリティについては、さまざまな対策が存在します。企業においては、アクセスポイントの認証には厳密なユーザ認証を必要としたり、無線LANからは重要な情報や基幹システムにアクセスできないようにする仕組みなどがあります。

無線LANの暗号化はWPA2(AES)の利用を推奨

通信の傍受を防ぐため、無線LANの通信の暗号化をするには次の3つの方式を利用する事が可能です。

  • WEP(Wired Equivalent Privacy)
  • TKIP(Temporal Key Integrity Protocol)
  • CCMP(Counter-mode CBC-MAC Protocol)

WEPは、40bitまたは104bitの共通鍵とRC4という暗号化アルゴリズムが使用されています。
RC4の暗号化データは、共通鍵とIV(Initialization Vector)という共通鍵から作成される24bitの乱数が付与されたものが秘密鍵となります。しかし、このIVが常に固定の共通鍵から生成されている事や、IV自体が平文で送信されている事、共通鍵が40bitしかないために簡単に総当たりでパスフレーズが判明してしまうなどのリスクがあります。また、WEPについては解読ツールが出回っている事もあり、企業でWEPを利用する事は危険と言えます。

TKIPは、WEPの秘密鍵の生成の脆弱性に対して対策を施したものです。しかし、TKIPはWEPと同じ暗号化アルゴリズムであるRC4を採用しているため、企業で利用するのであれば、TKIPよりさらに暗号アルゴリズムが強いAESを使用しているCCMPを推奨しています。

暗号化方式の規格暗号化方式暗号アルゴリズム認証方法
WEP(40bit)WEP64bitRC4WEPキー
WEP(104bit)WEP128bitRC4WEPキー
WPATKIPRC4PSK/EAP
WPACCMPAESPSK/EAP
WPA2CCMPAESPSK/EAP

無線LAN機器の設定では、暗号化の方式が明示されず、「WEP」、「WPA」、「WPA2」などという表記になっている事が多くあります。「WPA」及び「WPA2」は「WEP」の弱点を補完するために作成された規格になります。 「WPA」では暗号のアルゴリズムにRC4を使った「TKIP」が採用されていましたが、「WPA2」では「AES」ベースの「CCMP」の実装が必須となりました。

アクセスポイントへの接続認証セキュリティ

企業の無線LANのアクセスポイントへの認証方法は、PSKの利用ではなく、EAP(802.1 X)認証を推奨しています。それぞれの違いについては以下のとおりです。

PSK(Pre-Shared Key)認証
家庭などの小規模のネットワークでは有効な認証方式。事前共有鍵といわれる20文字から63文字のパスフレーズをネットワーク機器とクライアント端末で共有する事によって認証を行います。

EAP(Extensible Authentication Protocol)/802.1 X認証
家庭などの小規模のネットワークでは有効な認証方式。事前共有鍵といわれる20文字から63文字のパスフレーズをネットワーク機器とクライアント端末で共有する事によって認証を行います。PPP(Point-to-Point Protocol)を拡張し認証を行う方式。認証サーバ(RADIUSサーバ)とクライアントの認証が先に行われ、認証が完了した時点で通信が開始される。EAPには複数の方式があり、ほとんどの方式がPKI(公開鍵認証基盤)を使用しています。

EAP-PEAP(EAP-Protected Extensible Authentication Protocol)
家庭などの小規模のネットワークでは有効な認証方式。事前共有鍵といわれる20文字から63文字のパスフレーズをネットワーク機器とクライアント端末で共有する事によって認証を行います。認証サーバのみサーバ証明書を持ち、クライアントはIDとパスワードをRADIUSサーバに送信する事によって認証されます。

図2 EAP-PEAP

EAP-TLS(EAP-Transport Layer Security)
家庭などの小規模のネットワークでは有効な認証方式。事前共有鍵といわれる20文字から63文字のパスフレーズをネットワーク機器とクライアント端末で共有する事によって認証を行います。認証サーバには、サーバ証明書、クライアント端末にはクライアント証明書を持つ事により、お互いの正当性が認められたときに認証されます。

図3 EAP(802.1 X)認証の構成例
EAP(802.1 X)認証の構成例

持ち出しの多いノートPCなどでは、クライアント証明書をUSBメモリなどにインストールする事によって、外出先でのクライアントの紛失にも備える事が可能です。また、クライアント証明書の認証とID・パスワードの認証を合わせた二要素認証にする事で、さらに強固な認証とする事ができます。

SSID隠匿やMACアドレス認証は有用か?

アクセスポイントの存在を隠すためにSSIDを送信しないことをセキュリティの要素の一つとして利用される事も多いようです。しかし、SSIDを送信しなくてもクライアントが接続を要求する際にSSIDが平文で送信されるために、セキュリティ上のメリットは薄いと考えられます。

同様に、PSKと一緒にMACアドレス認証を利用される場合もありますが、MACアドレス自体は簡単に偽装ができるために、社内のクライアント端末の接続の制限には有用ですが、悪意のある第三者の攻撃に対しては有効な手段とは言えません。

無線LANがリスクにならない運用方法を検討

アクセスへの認証だけではなく、無線LANからの重要な情報や基幹システムへのアクセスを制限する事も有効です。重要な情報やシステムが存在するネットワークを無線LANのネットワークから切り離せば、例えアクセスされたとしても情報漏洩の可能性はなくなります。

どうしても無線LANから重要情報にアクセスする必要がある場合には、基幹システムや重要な情報へのアクセスに、クライアント証明書の使用を必須とするなどの対策を行っておく事が必要になります。無線LANの特性を理解し、通信の傍受・不正侵入をされる事を前提としてどのようなセキュリティが必要か検討してみてください。

  • このエントリーをはてなブックマークに追加

この記事を書きました

グローバルサインブログ編集部

グローバルサインブログ編集部
所属:GMOグローバルサイン マーケティング部
当ブログの運営・管理を担当。マーケティング部=なんでも屋。
>>グローバルサインブログ編集部の記事一覧