スマートフォン、タブレットといったスマートデバイスは、当たり前のものとなった。個人利用が先行してきたこれらのデバイスは、今、企業においても急速に導入が進んでいる。スマートデバイスの企業利用を考える時、情報システムへのアクセスの主役は、無線LANになるだろう。
機密情報が日常的にやり取りされる企業業務において、無線LANにはしっかりとしたセキュリティレベルが求められる。そこで、本稿では無線LANのセキュリティのポイントについて改めて解説していきたい。
主な無線LANのセキュリティリスク
無線LANに対する主なセキュリティ上のリスクとしては、以下が挙げられる。
- データの盗聴
- 不正侵入
無線LANのセキュリティリスクとして、まず、思い浮かべるのはデータの盗聴だろう。無線LANの電波は空気中に拡散する。その電波を傍受することで無線LAN上を流れている情報を記録しておくことができる。有線LANに比べるとデータを収集することはとても簡単だ。機密情報が飛び交う企業の無線LANにおいては、データ盗聴のリスクに対してしっかりと対策しなければならない。
また、無線LANを介した企業ネットワークへの不正侵入にも注意を払うべきだ。無線LANにおいては、ネットワークに侵入を試みる場合に、必ずしも対象の施設内に立ち入る必要はない。悪意あるユーザは、安全な場所から発見されるリスクを冒すことなく攻撃することができる。無線LANを足がかりに、情報システムのさらに重要な部分にアクセスされてしまう事態は、絶対に防がなくてはならない。
 |
図 1 主な無線LANのセキュリティリスクの概要 |
無線LANのセキュリティリスクに対する対策
では、こうした無線LANのセキュリティリスクにはどのような対策が必要だろうか。盗聴に対しては、暗号化で対抗する。無線LAN上を流れるデータを暗号化することで、(電波の傍受と記録は避けられないとしても、)その内容が悪意を持つユーザに漏れることはなくなる。データの暗号化は無線LANのセキュリティにおいては必須だ。無線LANの暗号化方式には、以下がある。
- WEP(Wired Equivalent Privacy)
- TKIP(Temporal Key Integrity Protocol)
- AES(Advanced Encryption Standard)
このうち、企業の情報システムで採用するとすれば、間違いなくAESだろう。AESはアメリカ政府の標準暗号化方式だ。世界中から暗号化方式の標準として公募し、AESが選ばれている。現在、一般的に利用されている無線LANアクセスポイントや無線LANクライアント製品のほとんどはAESに対応している。もし、AESに対応していないような機器が残っているのであれば、そうした機器はリプレースを検討するべきかもしれない。
WEPやTKIPは特別な事情がない限りは選択すべきではない。とりわけ、WEPによる暗号化は、今ではほとんど意味をなさない。WEPでデータを暗号化するための暗号鍵の生成に脆弱性があるからだ。WEPでデータを暗号化したとしても、解析ツールを利用すれば、極めて短時間でWEPの暗号化を解読できてしまう。
TKIPは、WEPの暗号鍵の脆弱性を改善している。しかし、暗号化アルゴリズム自体はWEPと同じRC4を採用しているので、暗号化の強度としてはそれほど強くない。先にも述べたが、ほとんどの製品がAESに対応しているのに、あえてWEPやTKIPを利用する理由はないはずだ。
次に、不正侵入の対策として、無線LANアクセスポイントに接続するユーザの識別(認証)を行う。無線LANで主に利用できるアクセス制限の方法として、以下のものが挙げられる。
- SSID(ステルスSSID)
- PSK(Pre-Shared Key)
- MACアドレス
- IEEE 802.1X
無線LANに接続するためにはSSIDを指定しなければならない。そこで、無線LANアクセスポイントで、SSIDを通知しないようにし、「SSIDを知っているユーザだけ」が無線LANアクセスポイントに接続できるようにできる。SSIDの通知をしないことを「ステルスSSID」や「SSID隠蔽」などと表現されることが多いが、不正アクセス対策としてはまったく心もとない。アクセスポイントがSSIDを通知していなくても、無線LANの電波を傍受することでSSIDは簡単に調べられるからだ。ステルスSSIDはほんの気休めだ。
PSK(Pre-Shared Key)は事前共有鍵と訳される。無線LANアクセスポイント側でパスフレーズを指定し、そのフレーズが設定されたデバイスからのみ接続できるようにする。パスフレーズが部外者に漏れない限りは、無線LANのセキュリティは維持されるが、利用者の退職や異動、デバイスの紛失があった場合には、全ての無線LANアクセスポイントとデバイスで設定を変更しなければならない。利用者の出入りが少なく、設定変更中のネットワーク停止を受入れることができる、一般家庭や小規模ネットワーク向けの仕組と考えるべきだろう。
企業の無線LAN環境において、PSKに追加される形で採用されることの多いセキュリティ対策がMACアドレスによる認証だろう。しかし『悪意ある攻撃者からの不正アクセスを排除する』という多くの企業が求めるセキュリティレベルは確保できない。 “その気になれば”MACアドレス認証を突破することは難しくはないからだ。MACアドレスは本来、通信を行うための識別子であり、無線LANにおいてもMACアドレス情報が含まれるヘッダ部分は暗号化対象外である。通信の電波を傍受すれば、アクセスポイントと通信しているデバイスのMACアドレスは簡単にわかる。また、MACアドレスをソフトウェア的に変更することも容易であるため、値を詐称すれば、MACアドレス認証を突破できる。
無線LANアクセスポイントに接続するユーザを確実に識別するには、IEEE 802.1X の認証を利用する。IEEE 802.1Xであれば、悪意を持つユーザに簡単に突破されるようなことはない。
 |
図 2 無線LANの主なセキュリティリスクに対する対策 |
以上のような、無線LANのセキュリティ対策は、WPAおよびWPA2(IEEE802.11i)として規格されている。WEPの暗号化の脆弱性が深刻になってきたときにWPA2(IEEE802.11i)の規格化を目指していた。しかし、規格化に時間がかかったため、WPAはWPA2の機能を一部先取りして規格されている。
WPAでは暗号化にはTKIPを利用し、認証にはPSK認証とIEEE 802.1Xを利用できる。そして、WPA2(IEEE802.11i)では、暗号化にAESを利用し、認証は原則としてIEEE 802.1Xを利用する。IEEE 802.1Xの利用が難しい場合は、PSK認証を利用することも可能だ。
表 1 無線LANのセキュリティ規格
| 規格 | 暗号化 | 認証 |
|---|---|---|
| WPA | TKIP | PSK認証 IEEE 802.1X認証 |
| WPA2(IEEE802.11i) | AES | IEEE 802.1X認証 (PSK認証もサポート) |
暗号化にAESおよび認証にIEEE 802.1Xを利用することから、無線LANのセキュリティ対策としてはWAP2(IEEE 802.11i)が最適だ。
IEEE 802.1Xによるユーザ認証
無線LANでより強固な認証を行うIEEE 802.1Xについて、その概要を見ていこう。IEEE 802.1Xの認証には、以下の3つの要素が連携する。
- サプリカント
- オーセンティケータ
- 認証サーバ
サプリカントとは、IEEE 802.1Xの認証を行うためのクライアントソフトウェア。現在のWindowsやMac OS、iOS、Androidなどの主要OSでは、サプリカントの機能が備わっている。
オーセンティケータは、IEEE 802.1Xに対応した無線LANアクセスポイントのことで、サプリカントからの認証要求を認証サーバへ中継する役割を持っている。認証サーバから認証成功のメッセージが返ってくると、オーセンティケータはサプリカントの接続を許可する。認証サーバとして利用するのは、RADIUS(Remote Authentication Dial In User Service )サーバだ。
そして、IEEE 802.1Xのこうした3つの要素の間で使われるプロトコルがEAP(Extensible Authentication Protocol)である。EAPには次のようなさまざまな方式がある。
- EAP-TLS
- EAP-TTLS
- EAP-PEAP
EAP方式の違いは、認証するためにどのような情報を利用するかということだ。また、社内ネットワークに接続するクライアントだけではなく、認証サーバが正規のサーバであるかも認証することもできる。EAP方式のそれぞれについて、認証に利用する情報をまとめたものが以下の表となる。
表 2 EAP方式
| EAP方式 | クライアント認証 | サーバ認証 |
|---|---|---|
| EAP-TLS | デジタル証明書 | デジタル証明書 |
| EAP-TTLS | ユーザ名/パスワード | デジタル証明書 |
| EAP-PEAP | ユーザ名/パスワード | デジタル証明書 |
EAP-TLSはサーバだけでなくクライアントもデジタル証明書を利用して認証する方式で、最も強固なセキュリティを確保することができる。
EAPのどの方式を利用するかは、確保したいセキュリティレベルと管理上の負荷などを考慮して決定すると良いだろう。
次の図は、IEEE 802.1X認証で連携するサプリカント、オーセンティケータ、認証サーバについてまとめたものだ。
 |
図 3 IEEE 802.1X認証の要素 |
IEEE 802.1X EAP認証はRADIUSサーバのほか、認証局(CA)も必要になるため、敷居が高くなってしまう。しかし、無線LANのセキュリティを確保して、情報システムを不正侵入から保護するためには、IEEEE802.1X認証は非常に重要だ。
終わりに
繰り返しになるが、無線LANのセキュリティにおいては、以下の2点が特に重要だ。
- データの暗号化によって盗聴のリスクから保護
- ーザ認証によって不正侵入のリスクから保護
データの暗号化はAESを利用することになるだろう。現在、一般的に導入されるほぼすべての製品はAESをサポートしているので、それほど難しく考えることはない。
ユーザ認証はIEEE 802.1Xが最適だ。ただし、認証サーバが必要なので、高くなりがちな導入や運用の敷居を乗りこえなくてはならない。
次回は、実機を用いた無線LANの認証環境の構築を行っていく。実機には、ソリトンシステムズの「NetAttest EPS」を用いる。NetAttest EPSはIEEE 802.1Xに対応するアプライアンス型の認証サーバで、デジタル証明書の作成・配布なども管理できる製品だ。無線LANのセキュリティをIEEE 802.1Xで確保したいが、導入や運用に手間をかけることができない場合には役立つ製品と言えるだろう。
本稿で使用する製品
 |
ソリトンシステムズが提供する認証アプライアンス「NetAttest EPS」 |
機材協力 株式会社ソリトンシステムズ |
| 1979年設立。ITの黎明期からLSIを含む組込みシステムの開発とLANに着目してきた同社。ドライバやネットワーク管理ソフトからISDN基盤、大規模ネットワークの構築と実績を積み重ね、現在では認証を中心としたITセキュリティ関連製品の開発やサービスの提供に注力している。 |
(マイナビニュース広告企画 : 提供 株式会社ソリトンシステムズ)
[PR]提供:ソリトンシステムズ
