動的にキーを変える方式を使うべし
認証の次は,無線LANで通信する部分の盗聴対策だ。盗聴を防ぐにはデータを暗号化すればよい。家庭で無線LANを使う場合でも,WEP(ウェップ)*による暗号化は必須条件といわれてきた。現状はどうなっているのだろう。
そこで次は,エンテラシス・ネットワークス マーケティング本部 マーケティングディレクターの森本信一さんに話を聞いた。今でもおもにWEPが使われているんですか?
「いや,より強固なセキュリティが求められるオフィスで使うとなると,WEPでは力不足ですね」(森本さん)。
無線LANの暗号化方式には,大きくWEP,WPA,WPA2*の三つがある。
WEPは無線LANの標準として当初からある方式。暗号化アルゴリズムにぜい弱性があり,固定の鍵情報をすべての端末およびAPに設定して利用するので,やりとりするデータ・フレームをある程度集めると解読できてしまう。
WPAは,WEPの弱点を補うために,Wi-Fi(ワイファイ) アライアンス*がIEEE802.11iの仕様を先取りして規格化した暗号化方式である。暗号化アルゴリズムはそのままで,暗号鍵の生成にTKIP(ティーキップ)*という方式を採用し,実際の暗号化に使う鍵をフレームごとに変化させる。
WPA2はWPAの後継に当たる。暗号化アルゴリズムをより強固なAES*に変えたうえで,暗号鍵の作り方をさらに複雑にした*。
つまり,暗号化の強度からいうと,WEP,WPA,WPA2の順に強くなる(図5[拡大表示])。ただし,AESを利用するWPA2は,ハードウエアがAESに対応していないと使えない。この点は注意しておくべきだろう。
さらにWPAとWPA2には,暗号鍵の基となるデータを固定的に使う方法(図5の左)と,802.1Xと連携させることで基データを動的に変化させる方法がある(同右)。WEPでも,それに倣って動的にWEPキーを変える「ダイナミックWEP」という方式を採用する機器が出てきている。ユーザーごとに動的に暗号鍵の基データを変えれば,盗聴される危険性は大幅に低くなる。
エンテラシス・ネットワークスの森本さんは,「802.1X認証を導入している環境で使うなら,動的に変わるデータから暗号鍵を生成する方式を採用するのが望ましいでしょう」という。
