今こそ考えたい「無線LANセキュリティ」の基本(3) 事例で考える無線LANセキュリティの正しい構築・運用法

前回までに、無線LANにも情報セキュリティの3要素である機密性（Confidentiality）、完全性（Integrity）、可用性（Availability）が求められること、また、それらを実現するためのソリューションとしてソリトンシステムズの「NetAttest EPS」「NetAttest LAP」「NetAttest D3」を紹介した。

では、ユーザーはこうしたソリューションを実際にどう活用しているのだろうか。今回は、企業が直面する課題や悩みを挙げつつ、それを解決する手順について事例から見ていきたい。

無線LANセキュリティへの企業ニーズとは

企業が無線LANに求めるセキュリティ要件をクリアするためには、3つのステップで考えるとよい。まず、最初のステップは「なりすましや不正アクセスといった入り口からの脅威をしっかり止めること」だ。一般に企業ネットワークはおおよそ5〜7年でリプレース期を迎える。無線LANでも同様に、レガシーな機器から新しい機器へと置き換える動きが進んでおり、多くの企業では、この機会に安全面や運用面の見直しを行うことになるだろう。安全面については、共通パスワードを使うだけの脆弱な状態から、パスワードを用いないデバイス認証として、電子証明書を用いた強固な認証の仕組み（802.1X EAP認証）への移行を検討するはずである。第一のステップは、この強固な認証の仕組みを確実に実現し、維持できるソリューションを探すことだ。

次のステップは、前述の「"強固な認証の仕組み"の保護が及ばない範囲」への対応だ。無線LANセキュリティというと外部の第三者からの不正侵入をいかに防ぐかに注目が集まりやすいため、1つめのステップの対策が必須となる。しかしこの対応で企業ネットワークのセキュリティの全てを網羅できているわけではない。たとえば、社員が私物の無線アクセスポイントを勝手に有線LANに接続したり、部門ごとに独自の無線LANを立ち上げていたりといった"野良無線LAN"が社内に乱立してしまう恐れがある。また、電子証明書を用いた認証環境に参加できないデバイスの存在も無視できない。たとえば、ネットワークに接続する複合機や、機能が限られるIoTデバイスなどだ。これらへの対応を検討し、"抜け穴"をなくしていくことが2つめのステップだ。

3つめのステップは「ネットワークの安定運用」だ。前述の2つのステップを踏むことで、不適切な端末からのネットワーク侵入は排除できるだろう。残る課題は、（正規の端末は）確実かつ快適にネットワークサービスを利用できるよう通信品質を高めることだ。無線LANの活用が進めば、接続される機器が増える。その結果、ネットワークコアサービスとも呼ばれるDNSやDHCPに負荷が増し、ネットワーク利用が不安定になることがある。その結果、無線LANを使ったIPフォン（スマホの内線化）などを導入している場合であれば、通話がままならなくなるケースが出てくるし、IPの払い出しやドメイン名の解決の遅延が、そのままビジネスへの対応スピードを遅らせる場面もある。いうまでもなく、ネットワークの障害や停止を避けることは必須事項だ。

ユーザー企業が無線LANセキュリティに求めるニーズ

ステップ	内容
1つめ	なりすましや不正アクセスといった脅威をしっかり止めること
2つめ	ネットワーク全体から"抜け穴"をなくしていくこと
3つめ	ネットワークの安定運用を可能にすること

製造業A社は無線LANリプレースにどう取り組んだか

こうした3つのステップで新しい無線LAN環境を構築していったのが、現在では社員数300名の製造業A社である。同社が以前抱えていた目下の課題は、2010年頃から段階的に構築した無線LAN機器の老朽化だった。

2010年といえばiPadが発売され、国内でも大きな話題になった年。年末にはAndroidスマートフォンが海外・国内メーカーから複数発売され、スマートフォン元年などともてはやされた。だが、スマートフォンが従来型のケータイを普及率で逆転するのは2016年のこと。A社でも当時はタブレットやスマートフォンを業務で利用することは、あまり想定していなかった。

当時の社員数は約150名で、一部の社員がノートPCを利用することを前提に無線LAN環境を整備。オフィスは隣接したビル2棟のいくつかのフロアが部門ごとに分かれた立地で、無線アクセスポイントをフロアごとに設置し、部門やフロアごとに共通パスワードでアクセス制限をかける仕組みにした。また、フロアをまたがって移動するような場合でも、接続するネットワークを切り替えることで対処できるようにしている。

当時は有線LANから無線LANへの移行期だったこともあり、働き方が大きく変わったという社内からの評価も上々だった。だが、3年、5年と運用し続けることで、次第に設計当初のキャパシティを超えるようになる。

まず、社内に残っていたデスクトップPCが順次ノートPCに置き換わっていった。当初の予想を超えて接続する台数が増えたことで、ネットワークの遅延やトラブルが目立つようになった。ノートPCだけでなく、タブレットやスマートフォンの利用が増え、同時接続台数が300台を超えるケースが増えてきた。セキュリティ面でも、無線LANの知識を持つ社員が増えてきたことで、勝手にスマートフォンやタブレットを社内ネットワークにつないだり、データをクラウドのファイル共有ソフトに転送したりといった使い方が常態化しつつあった。

旧来の無線LANが抱える課題

安心・安全の無線LANセキュリティを実現するシステム構成

A社はリプレースのタイミングに合わせ、今となっては旧態依然としてしまった環境を刷新することに決めた。具体的には、認証について電子証明書を使った802.1X認証を全面採用することにしたのだ。802.1X認証は、無線LANにおいて「WPA エンタープライズ」と呼ばれ、企業標準の接続設定の中核を担っている認証方式だ。

認証の仕組みを検討する際に要件としたのは、主に下記の3点だ。

管理負荷を増大させないための管理機能が豊富であること
特別な知識や経験なしで運用できること
日本語に対応したサポート体制があること

加えて、今後5〜7年先までの無線LAN環境を考慮し、社外からモバイルアクセスするための二要素認証、シャドーIT対策となる持ち込みデバイスの検知、FAX複合機や受発注システム、部門サーバといった有線LAN接続機器も保護の対象とすることを要件とした。

そのような要件を全て満たすものとして最終的に採用されたのが、ソリトンシステムズの「NetAttest シリーズ」である。統合認証アプライアンスのNetAttest EPS、不正端末検知や有線LAN接続機器管理のためのNetAttest LAP、DHCP／DNS専用アプライアンスのNetAttest D3からなる。

NetAttest EPS
NetAttest LAP
NetAttest D3

構成としては、まず、NetAttest EPSの中規模環境向けモデル「EPS-ST05-A」を2台導入して冗長化。2棟の各フロアに設置した計10台の無線アクセスポイントと連携し、不正アクセスを確実に排除できる環境を実現した。正規端末に投入されている電子証明書で自動的に認証されるため、利用者はパスワードの運用に悩まされることもない。また、電子証明書をネットワーク経由で配布する申請ワークフロー「NetAttest EPS-ap」も同時に導入し、運用の軽量化を図った。

次に、NetAttest EPS の保護が及ばない、電子証明書に対応しない有線LANへの不正接続の対策として「NetAttest LAP」を配置した。監視下にあるネットワークを流れる通信は全てチェックし、不適切と判断した端末を自動的に排除できる。いままで把握することが困難だった有線LANへの接続状況を"見える化"することで、社員の意識も改革され、企業ネットワーク全体のセキュリティ向上に大きく寄与したという。

最後に、ネットワークの安定性を向上させるために「NetAttest D3」を導入した。最大割当数2,500台の小中規模モデル「D3-SX15-A」を2台配置し、こちらも冗長化。DHCP1,350リース/秒、DNS3万クエリ/秒という性能と可用性を確保し、信頼性を高めることに成功した。