無線LANや携帯データ通信の落とし穴と対処策
モバイルアクセスで最も重要なのがセキュリティ対策だ。情報漏えいや不正アクセスといった脅威に巻き込まれないためにも、モバイル環境から企業ネットワークへ接続するときの安全対策をおさらいしよう。
[池田冬彦,ITmedia]2008年09月16日 09時30分 更新
http://www.itmedia.co.jp/enterprise/articles/0809/16/news008.html
本記事は、オンライン・ムックPlus「モバイルから安全に企業ネットへ接続しよう」のコンテンツです。関連記事はこちらでご覧になれます。
公衆無線LANサービスや携帯電話網を利用した高速データ通信、PHSによる通信など、モバイルアクセス環境が格段に広がり、リモートアクセスで社内の業務リソースを快適に利用できる環境が整いつつある。しかし、こうした利便性の向上と引き換えに高まるのがセキュリティ上のリスクだ。モバイル環境では、社内イントラに導入されているようなファイアウォールやIDS(不正侵入検知システム)、マルウェア対策のセキュリティゲートウェイといった堅牢な対策を用意するのが難しい。モバイルアクセスの手段によって、どのようなリスクが存在し、どのような対策を講じるべきか――利便性と安全性を両立するためのモバイルアクセスのセキュリティ対策を考察していこう。
公衆無線LANの落とし穴
前回の「3.5GやWi-Fiが普及、モバイルアクセスの手段を見直そう」で解説したように、公衆無線LANサービスは、携帯電話網を利用したデータ通信に比べて、通信速度と接続の安定性の両面で優れ、モバイル環境における「スポット」としての利用に適している。したがって、公衆無線LANを利用したモバイルアクセスを行う場合には、端末とアクセスポイント(AP)間のワイヤレス経路におけるセキュリティ対策がポイントになる。
公衆無線LANを利用する場合、通常はサービス事業者から通知される「SSID」と「WEPキー」を利用してAPに接続する。だが、ここに大きなリスクが潜んでいる。公衆無線LANではIEEE802.11a/b/gの「Wi-Fi」規格の無線通信方式が採用されている。Wi-Fi規格は、ワイヤレスデータの暗号化と認証の仕組みに「WEP」や「WPA」「WPA2」という方法が用いられているが、このうち、WEPは最も古い規格である。既にセキュリティの仕組みが破られており、インターネット上ではハッキングツールが出回っているほどだ。
このため、現在はWPAやWPA2が標準的なセキュリティの設定として使われるようになりつつある。WPA/WPA2には、一般家庭向けの「パーソナルモード」(PSK)と企業向けの「エンタープライズモード」(EAP)の2種類があり、EAPモードは「802.1X」(RADIUS)ベースのユーザー認証環境での利用を前提としている。WPA2はWPAの後継規格であり、2000年に米国政府の標準暗号として採用されたAESを暗号アルゴリズムとしてサポートしつつ、一定時間ごとに暗号鍵を自動的に変更する仕組みを備える。ビジネスユースでは、「WPA2-EAP」の環境を利用するのが望ましい。
だが、多くの公衆無線LANサービスはWEPによる接続が基本となっている。SSIDとWEPキーは、サービス事業者が共通のものとして提供しており、APの近隣に第三者がサービス事業者になりすました偽のAPを設置すれば、偽APに接続したユーザーのデータを盗聴したり、ほかのクライアントが傍受したりするリスクが存在する。
公衆無線LANのサービス事業者がいまだにWEPを基本としているのには理由がある。これは、WPAやWPA2に対応するクライアントのOSがWindows XP SP2以上であるなどに限られるためであり、古いOSのクライアントや携帯型ゲーム機、一部の小型携帯端末ではWPAやWPA2に対応していないものがある。このように互換性の問題があるため、WEPを基本とせざるを得ないのだ。WEP接続によるビジネスでの公衆無線LANの利用は、かなり危険だといえるだろう。
公衆無線LAN利用時の代表的なセキュリティリスク
しかし、WEPによる盗聴の可能性の問題は、公衆無線LAN事業者が提供する「802.1X認証」のサービスを利用することで改善できる。例えば、NTTコミュニケーションズの「HOTSPOT」や、NTTドコモの「Mzone」では、802.1X認証サーバと動的な暗号鍵交換方式を用いた高セキュリティのサービスを提供している。
これらのサービスでは、事前にサービス事業者から提供されるサプリカントをクライアントにインストールし、これを使ってAPに接続すれば事業者側の802.1X認証サーバでユーザー認証を行い、ユーザーごとに異なったWEPキーを発行する。このWEPキーは一定時間ごとに自動的に変更されるため、暗号キーを第三者に解読される恐れも少ない。
公衆無線LANの高セキュリティサービスの仕組み
高セキュリティサービスのクライアント対応状況
OS HOTSPOT Mzone
Windows Vista ○ ○
Windows XP ○ ○
Windows 2000 ○ ×
Mac OS X △(ネットワークの設定で対応) ×
HOTSPOTでは「IEEE802.1Xオプション」という名称をサービスを提供しており、ユーザーは追加料金を支払うことなく利用できる。Mzoneは「自動ログイン」機能としてサービスを無料で提供している。Mzoneではサプリカントは提供しておらず、Windowsのネットワーク設定で802.1X認証を有効にする必要がある。この方法は、Mzoneのホームページで詳しく解説されている。なお、各サービス事業者とも802.1Xによる接続に対応していないAPを設置している場合があるので、事前にホームページなどで対応APを確認しておきたい。
HOTSPOTが提供するサプリカントソフトウェア
Mzoneの場合は手動で802.1X認証の設定を行う
携帯系サービスの落とし穴は
PHSデータ通信や携帯電話各社が提供する高速のデータ通信サービスでは、基地局とクライアント間の通信がデジタルで独自に暗号化されており、第三者が通信内容を傍受して復号するには高度な技術と特殊な解読装置が必要になる。このため、公衆無線LANのようなワイヤレス区間での盗聴などによる情報漏えいのリスクは低いといえる。
しかし、携帯系サービスでも油断は禁物だ。ほとんどのサービスはクライアントにグローバルアドレスを割り当てる仕組みであり、通信プロトコルの制限をかけていないところもある。つまり、全くの「素」の状態でもインターネットに接続できるようになり、セキュリティ対策をしていなければマルウェアに感染したり、外部からの不正なアクセスを受けたりする恐れがある。
かつて世界中を震撼させた「Code Red」や「Blaster」のように、インターネットへ接続するだけで感染してしまうような悪質なワームには警戒するべきだろう。何の対策もせずにネットワークの共有機能を有効にしたままモバイルアクセスを行うと、インターネット側からポートスキャンツールによってクライアントが検知され、外部からPCに不正アクセスされたり、DoS(サービス停止)攻撃を仕掛けられたりする恐れがある。
具体的な対策としては、OSやアプリケーションに最新のセキュリティパッチの必ず適用し、セキュリティ対策ソフトをクライアントPCに導入して定義ファイルを最新の状態にしてくことが重要だ。
イーモバイルの「EMモバイルブロードバンド」で接続した状態。グローバルIPアドレスが割り当てられているのが分かる
セキュリティ対策ツールを最新にして外部からの攻撃に備える
このリスクは公衆無線LANにも存在する。先に挙げたHOTSPOTやMzoneではグローバルアドレスを割リ当て、プロトコルの制限をかけていない。また、公衆無線LANのAPが設置されている場所は、喫茶店やファストフード店など誰でも出入りできる場所に多い。可能性は低いが、APと事業者網間の経路で第三者が細工を仕掛けて、ユーザーの情報が漏えいする危険がないとはいえない。
VPN接続で守りを固めよう
モバイルアクセスでのセキュリティのリスクへ包括的に備えるには、モバイル環境とオフィスとの接続にVPNを利用し、社内のメールやWebサービスの通信にSSL方式を利用するのが望ましい。
VPNは拠点間に通信経路にトンネルを張り、通信されるデータを暗号化して安全に伝送するための仕組みだ。大企業では社内側に専用装置を設置し、クライアント側にエージェントをインストールする「IPSec」方式が主に利用され、中小規模のオフィスでは、コンピュータ間での通信を暗号する「PPTP」(Point-to-Point Tunneling Protocol)を利用した方式が代表的だ。SSLは、インターネットやFTPなどでのデータ暗号化するための方式で、Web閲覧や電子メールサービスなどに利用されている。
既にIPSec方式のゲートウェイが設置されているような大規模なオフィスでは、リモートアクセスの手段としてVPN接続が一般的になっているが、VPNを導入していない中小規模のオフィスでは、SSLやIPSecのVPN装置を新たに導入したり、サーバのセキュリティ設定を見直す必要が生じたりするだろう。
次回は、VPN接続の仕組みや中小規模のオフィスで安全なモバイルアクセス環境の構築方法について解説しよう。
