3.1 共通のセキュリティ対策 |
無線LANを導入する上での主なセキュリティ対策としては、ESS−IDの設定、WEP暗号化、MACアドレスフィルタリング
の3つがあります。これらは無線LANの規格である【IEEE 802.11b】、【IEEE 802.11a】で規定されているセキュリティ機能で
あるため、【IEEE 802.11b】、【IEEE 802.11a】規格に準拠している製品ならば、ほぼすべての製品でサポートされている機能です。
|
ESS−IDの設定 |
ESS−ID(Enhanced Service Set−ID)とは、無線LANのアクセスポイントやクライアントが属するグループを示すIDで、
ESS−IDが異なるアクセスポイント、クライアント間は通信ができないようになっています。
そのため、ESS−IDはセキュリティ機能を有していると考えられがちですが、ここには大きな落とし穴が存在します。
実は、ESS−IDには特殊なIDが存在します。クライアント側の設定でESS−IDの項目に【Any】と入力する、もしくは空白のままにすると、 アクセスポイント側のESS−IDの設定がたとえ何であったとしても、そのクライアントはすべてのアクセスポイントに接続することが可能となってしまいます。 これはホットスポットなどのオープンスペースで無線LANを利用する場合を考慮した仕様です。(※3)
また、WindowsXPや最近の無線LANアダプタの設定ソフトウェアなどは、アクセスポイントのESS−IDを自動的に検知する機能を 持っているため、簡単にESS−IDが漏洩してしまいます。(※4)
以上のことから、ESS−IDはセキュリティ機能としてはすでに効果を失っているといえるでしょう。よってESS−IDは無線LANの
グルーピングに使用する程度と捉えておけば良いでしょう。
※3 アクセスポイント製品の中には【Any】による接続を拒否するように設定することが可能な製品もあります。
※4 アクセスポイント製品の中にはESS−IDの自動検出に応答しないように設定することが可能な製品もあります。
|
WEP暗号化 |
WEP(Wired Equivalent Privacy)暗号化とは、アクセスポイントとクライアントの双方でWEPキーと呼ばれる値を設定し
、それを元に通信データの暗号化を行うことです。アクセスポイント〜クライアント間の通信データを暗号化することによって、通信内容の盗聴、
なりすまし、改竄が行われる可能性はかなり低くなります。
WEP暗号化はRC4と呼ばれるアルゴリズムを使用した共通鍵方式の暗号化方式で、暗号化、復号化の処理が非常に軽いことが特徴です。
また、WEP暗号化には、64bit鍵長暗号化と128bit鍵長暗号化があります。64bit鍵長暗号化は40bitのWEPキーと
24bitのIV(Initialization Vector)値を組み合わせた値を使用して暗号化を行います。同様に128bit鍵長暗号化は
104bitのWEPキーと24bitのIV値を組み合わせた値を使用して暗号化を行います。
当然、64bit鍵長暗号化よりも128bit鍵長暗号化の方が鍵長が長いため、暗号化、復号化の処理に時間がかかり、若干レスポンスが低下しますが、 第三者にWEPキーの値を解読される可能性は低くなります。実際、64bit鍵長暗号化では特殊なツールを使用するとWEPキーの値が数時間程度で 解読されるという事例もありますので、セキュリティの強化という点からは128bit鍵長暗号化の使用を推奨します。 (※5)
WEPキーはアクセスポイント側、クライアント側のWEPキーの項目に値を入力して設定を行います。64bit鍵長暗号化の場合は5文字の
ASCII文字列もしくは10桁の16進数、128bit鍵長暗号化の場合は13文字のASCII文字列もしくは26桁の16進数を入力します。
入力する値は第三者に推測されやすい文字列(企業名や個人名、単純な英単語など)よりは、英字小文字、英字大文字、数字、記号が混在した文字列の
方がセキュリティが高くなります。16進数で設定すればさらに良いでしょう。
※5 128bit鍵長暗号化を使用するためには、無線LANアクセスポイント、無線LANアダプタの双方が
128bit鍵長暗号化に対応している必要があります。
|
MACアドレスフィルタリング |
MACアドレスとはすべてのネットワークデバイスに付与されるユニークな番号で12桁の16進数で表します。無線LANアクセスポイントや
無線LANアダプタもネットワークデバイスですのでMACアドレスが付与されています。
このクライアント側のMACアドレスをアクセスポイント側に登録することによって、MACアドレスを登録したクライアント以外は
アクセスポイントに接続することが不可能になり、無線LANが利用できる人を制限することができます。
表2 無線LANのセキュリティ機能
セキュリティ機能 |
セキュリティ対象 |
堅牢度 |
特徴/問題点 |
ESS−IDの設定 |
不正使用/不正侵入 |
小 |
すでにセキュリティとして機能していない |
WEP暗号化(64bit鍵長暗号化) |
盗聴/なりすまし/改竄 |
中 |
特殊なツールを使用すると数時間で解読される可能性がある |
WEP暗号化(128bit鍵長暗号化) |
盗聴/なりすまし/改竄 |
大 |
堅牢だが、若干レスポンスが低下する |
MACアドレスフィルタリング |
不正使用/不正侵入 |
大 |
すべてのMACアドレスを登録する必要がある |
|
3.2 その他のセキュリティ対策 |
無線LANのセキュリティ対策において、上記の対策を講じることは最低限必須といえるでしょう。しかし、先に述べたように、 ESS−IDはすでにセキュリティ機能を失っていますし、WEP暗号化やMACアドレスフィルタリングについても最近は 脆弱性が指摘されるようになってきました。
そこで重要になるのがその他のセキュリティ対策です。
個人で構築するホームネットワークなどでは更なるセキュリティ強化はなかなか難しいとは思いますが、企業におけるイントラネットなどでは、
有線LANで使用されている既存のセキュリティ機能を併用することやセキュリティポリシーを導入することも重要なセキュリティ強化といえるでしょう。
|
既存のセキュリティ機能の併用 |
通信データの暗号化という点からいえば、VPN(Virtual Private Network)の併用も有効であるといえるでしょう。
アクセスポイント〜クライアント間の通信データをWEP暗号化に加えて、VPNを使用して暗号化を行えば、盗聴、なりすまし、
改竄などの行為は現実的にまず不可能であるといえます。
また、アクセスポイントの利用者制限、利用者監視を強化するならば、MACアドレスの登録に加えて、無線LANに対応したRADIUSサーバを
構築し、利用時にユーザ認証を行うことにより、不正使用や不正侵入が行われる可能性はかなり低くなります。
|
セキュリティポリシーの導入と運用の徹底 |
セキュリティポリシーの導入と運用の徹底は無線LANに限たことではありません。企業でイントラネット環境を導入する場合は、
明確なセキュリティポリシーを導入し、運用を徹底することこそがセキュリティを強化の上では最も重要であるといえるでしょう。
そこでセキュリティポリシーを導入する際の主なポイントを以下に挙げてみましょう。
@ 「パスワードやWEPキーを定期的に変更する」
A 「パスワードやWEPキーが外部に漏洩しないようにする」(紙に書き留める、安易に口外するなどは御法度です)
B 「パソコンやネットワーク機器の管理を徹底する」(盗難、紛失を防ぐ)
C 「被害にあった時のネットワークの運用方法を明確にする」(ネットワークの全体停止や一部機能の停止など)
当然、管理者、利用者全員がセキュリティポリシーで規定する運用方法を遵守しなければ効果はありません。 |