第2回 なぜ、我が社には無線LANがない?
「無線LANはセキュリティホールになる」「危険だ」――。ワイヤレスに対し、そんな誤解がまだまだ企業では支配的だ。
http://www.itmedia.co.jp/enterprise/articles/0704/25/news003.html
だが、本当に無線LANは危険な存在なのだろうか。
2007年04月25日 08時00分 更新
連載「再考・ワイヤレスネットワーク」では、本記事を含む以下の記事を掲載しています。
【第1回】わたしがモバイルをしたくない理由
【第2回】なぜ、我が社には無線LANがない?(本記事)
筆者は仕事柄、さまざまな企業を訪問(取材)することが多い。興味深いのは、企業によって無線LANに対するとらえ方がまったく異なる点だ。大手企業でも、依然として「セキュリティ上の理由」として無線LANの利用を禁止しているところがある半面、あまりセキュリティを意識せず、社員の要望をそのまま受け入れる形で運用しているケースもある。
後者はどちらかといえば中堅企業に多いパターンだが、逆に「管理する自信がない」という理由で無線LANを禁止しているところも少なからずある。理由を聞いてみても、「これ以上セキュリティにかける予算がない」という答えが返ってくる。確かに、小規模なオフィスで「802.1X認証」を含む認証システムに対応することは厳しいだろう。しかし本当に、無線LANを安全に運用するにはセキュリティへの大がかりな投資が必要なのだろうか。
無線LANにまつわる大きな誤解
無線LANは確かに、セキュリティの仕組みなくして成り立たない。物理的に“閉塞”している有線LANの方が見た目にも安心できる。だが、無線 LANの業界団体である「Wi-Fi Alliance」で定められたセキュリティの仕組みはまったく役に立たないのか、という疑問が生じる。
この問題は、初期に策定されたセキュリティ仕様「WEP」に端を発している。WEPはその脆弱性が明らかになっており(関連記事参照)、多くのIT系メディアで報道されている。つまり、「WEPは脆弱=無線LAN標準のセキュリティ機能は役立たず」という誤解を定着させてしまったように思える。
だが、現実には無線LANの新しいセキュリティ標準規格「IEEE 802.11i」を含む新しい規格「WPA2」がすでに発表されており、2006年以降に発売された無線LAN製品のほとんどはWPA2をサポートし、それ以外の製品も、ほぼファームウェアのアップグレードで対応している。WPA2は米国標準暗号「AES(Advanced Encryption Standard)」で暗号化され、有線とほぼ同等のセキュリティを提供する。
無線LANの標準セキュリティ方式 方式 内容
WEP(Wired Equivalent Privacy) 40ビットまたは128ビットのWEPキーを使って通信データを暗号化し、APに設定したWEPキーを知らないと接続できないという暗号化の仕組み。現状ではクラック手法が広まり、誰でも簡単に解読できるため、使用は推奨できない
WPA(Wi-Fi Protected Access) WEPの弱点を克服し、IEEE802.1xベースのユーザー認証システムへの対応、および、暗号化プロセスの強化が図られた仕様。RADIUS認証などに対応する中?大規模システム向けの「Enterpriseモード」と、認証サーバを持たない家庭や小規模システム向けの「Homeモード(WPA-PSK)」のいずれかで運用する
WPA2(Wi-Fi Protected Access 2) 2002年にWi-Fi AllienceがWPAのセキュリティ強化を目的に策定した最新規格。AESという最新の標準暗号方式でデータを暗号化する。WPAと同じく、「Enterpriseモード」「Homeモード(WPA2-PSK)」いずれかで運用する
このように、すでに無線LANは危ないという「常識」は過去のものとなった。有線、無線を問わずセキュリティリスクを把握し、しっかり管理して使えばいい、というのがこれからの常識である。
しかし、漠然とした不安から無線LANの利用を禁止する企業はまだまだ多い。しかし、そのままでは、利便性を求める社員から不満の声が挙がるに違いない。実際、筆者はお付き合いのある企業の社員から「なんで管理者は禁止するんだ。全然分かってない」という声を幾度となく聞いたことがある。
社内をワイヤレス化すれば、どんなメリットが生まれるのか。例えば、LANケーブルのない会議室やスタッフルームでミーティングをするとき、みんなが自分のPCを持ち寄って事前に配布された資料を表示すれば、資料をプリントアウトする必要などなくなる。大幅な紙とプリンタの削減にもつながるのだ。
もちろん、それだけではない。PC=自席という縛りがなくなり、社員がどんな場所でも仕事ができるようになる。例えば、複数のプロジェクトにかかわっているスタッフが、その時々の状況に応じて仕事場所を選ぶといったように、社員が自由に場所を選んで業務を遂行した方が効率的なこともあるだろう。
ワイヤレス環境は使い方次第で生産性を高め、ペーパーレス化なども推進するインフラとなり得る。そんな可能性を、漠然とした不安でつぶしてしまうのはあまりにもったいない話だろう。
こんな使い方では本当に危ない!
もちろん、いくら会社が無線LANを禁止していても、リスクから回避できるわけではない。かえってリスクを増やす結果につながることもある。どのようなことが想定されるのか、代表的なトピックスをまとめてみた。
・隠れAPの運用
ユーザーがこっそり自席にアクセスポイント(AP)を持ち込み、管理者が知らないところで使っている例も増えている。セキュリティ設定はそのユーザー次第という大変に危険な状態だ。下手をすると「社内LANが外に筒抜け!」ということにもなりかねない。
・野良電波の利用
オフィス近隣から発信されているAPの電波を勝手に利用してインターネットにアクセスする、というケースもある。自席以外の場所でちょっと調べ物を……と気軽に利用されたのではたまらない。もしファイル共有機能を有効にしていれば、そのどことも分からぬLANから社員のPCに侵入されたり、ウイルスやワームの攻撃を受ける可能性もある。その不正な攻撃を受けたPCを社内LANに接続したとたん、LANは脅威にさらされる。
逆に、無自覚にワイヤレス環境を構築しているオフィスも大変危ない。特に、比較的規模の小さなオフィスでは、市販の無線APを購入し、ろくに設定もせずに運用している、というケースも散見する。
代表的な事例としては、いまだにWEPによる暗号化のまま使っているケースだ。ちまたの電波をスキャンしてみると、意外にもWEPのまま使っているオフィスが多いものだ。また、単純なパスワードしか設定していないのも問題である。
図1 住宅地、オフィス街を問わず、いまだにまったくセキュリティ対策が講じられておらず誰でもアクセスできるAPを見つけることは簡単だ。うっかりセキュリティで保護されていないAPに接続してしまう危険も多い(クリックで拡大)
どうすれば安全に運用できるのか?
このように、禁止する、しないにかかわらず、常に企業LANには無線LANのリスクが存在する。もちろん、管理を強化して徹底的に隠れAPなどのローグAP(管理されていない危険なAP)へのアクセスを力業で封じ込める方策もある。しかし、これだけワイヤレスアクセスの要求が強い今日では、むしろ、社内にワイヤレス環境を整備して快適に使えるようにすれば、社員はわざわざローグAPにアクセスする必然性はなくなるはずだ。
ただし、まったく悪意がなく無断でAPを持ち込んだり社外のAPに接続してしまうケースもあり得る。やはり、社員に対するセキュリティ教育は必須であり、社員自らが社内LANの保全に協力してもらうように、管理者は日頃から啓蒙活動を怠らないことが必要だ。
同時に、無線LAN環境を管理するという意味で、定期的に管理外のAPの存在を常にウォッチしておこう。定番の「NetStumbler」という無線LANエリア探知のフリーソフトウェアをインストールしておくと便利だ。NetStumblerは電波強度も数字やグラフで表示するので、見慣れないAPがどこにあるのかを探すときにおおよその目安を付けられる。
図2 NetStumblerで近隣のAPをスキャンする。電波強度をグラフ表示するので、ノートPCで移動しながらスキャンし、おおよそのAPの位置を把握できる(クリックで拡大)
また、当然ながら無線LANシステムが備えるセキュリティは十分に設定しておく。WPA2を有効化し、できるだけ複雑なパスワードを設定しておくことが必要だ。また、登録したMACアドレス以外の接続を受け付けない「MACアドレスフィルタリング」も併用するとより効果的だ。
なお、パスワード設定法の1つに、歌の歌詞や格言などの単語の先頭だけを抜き出してそれをパスワードにするという方法がある。例えば、「Let The Man Who Seeks Revenge Remember To Dig Two Graves(人を呪わば穴二つ)」は「ltmwsrr2d2g」といった具合だ。もちろん、可能な限り長いパスワードの方が望ましく、定期的に変更するようにしたい。
このような対策は、お金を掛けずに少しでも安全にワイヤレス環境を運用するための第一歩であり、一般的なオフィスではこれでまず問題はないはずだ。ただし、機密性の高いデータを扱う企業ネットワーク環境では、要求されるセキュリティレベルに満たないこともある。この場合は、必要に応じてAPからの接続経路を規制したりSIerと相談して相応のセキュリティ要件を満たすシステムを導入する必要があるだろう。
さて次回は、新しい面展開のワイヤレスネットワーク「FON」のビジネス利用の可否について考えてみたい。
ワイヤレス環境を安全に運用するために…
* 社員の実践的なセキュリティ教育を行う
* できるだけ利便性の良い環境を提供し、隠れAPなどを排除する
* 社内/近隣のローグAPをツールを使って常に監視する
* WPA2、MACアドレスフィルタリングで武装する(WEPは使わない)
* できるだけ複雑で長いパスワードでAPを守る
* パスワードは定期的に変更
* 求められる要件によってはさらにセキュリティレベルの強化を図る
関連記事
* 有線と同等、のはずがそうではなかった暗号化の「予想外」有線と同等、のはずがそうではなかった暗号化の「予想外」
無線LANには3つの暗号化方式がある。その1つであるWEPは、標準でありながらなぜ脆弱だといわれてきたのか。ユーザーの運用自体に問題はなかったのか。新たに2つの暗号化が登場した背景を探る。
* 無線LANのWEP暗号、60秒でクラッキング無線LANのWEP暗号、60秒でクラッキング
ドイツの研究者が、WEP暗号を簡単に破る攻撃手法について研究論文を公開した。
* 認証の本命、いちエックス導入ア・ラ・カルト
* 職場のWLANセキュリティは不十分――In-Stat調べ
* 第1回 わたしがモバイルをしたくない理由
前のページへ 1|2|3
[池田冬彦,ITmedia]
Copyright© 2007 ITmedia, Inc. All Rights Reserved.
