筆者は先日「ある中小企業で発生した,無線LANに関する3つのトラブル 」と題する記事を執筆したが,この記事について読者の方から多くの質問を頂いた。その多くは,セキュリティに関するものだった。これらの質問を元に,無線LANを保護する5つの方法を紹介しよう。
その1:無線ルーター/アクセス・ポイント(AP)へのパスワード設定
驚くべきことだが,デフォルトのルーター名およびパスワードをそのまま使用している無線ルーターやアクセス・ポイントが実に多い。ルーターが保護されていなければ,他のセキュリティ・オプションは全く無意味である。ルーターをローカル・ネットワーク以外の場所から管理する理由がなければ,リモート管理の無効化もやっておくべきだ。
その2:サービス・セットID(SSID)のブロードキャストの無効化
無線ルーターやアクセス・ポイントの多くが,デフォルトでSSIDをブロードキャストしている。このままだと,無線LANカードとパソコンがあれば,誰でもSSIDを見られる。もしSSIDのブロードキャストを無効にするのなら,無線LANの名前(SSID)を自動では取得できなくなるので,あらかじめその名前を確認してメモなどしておく必要がある。
その3:DHCPの無効化
無線LANにアクセスするコンピュータの数が少ないのなら,DHCPを無効化し,各クライアントに固有のIPアドレスを設定した方がよい。手動で割り当てるIPアドレスを,ルーターがサポートする範囲内にしておくのをお忘れなく。DHCPを使用すると,ネットワークを検索したDHCPクライアントに必ずIPアドレスが割り当てられてしまう。DHCPの無効化は,権限のないユーザーが簡単な操作でIPアドレスを取得してしまうことを防げる。
その4:MACアドレス・フィルタリングの使用
MACアドレスは個々のネットワーク・デバイスに固有である。Windowsのコマンド・プロンプトで「ipconfig /all」と入力すると,表示される項目の中に「Physical Address」というものがあり,2けたの数字が6組表示される。これらの数字が,ネットワーク・アダプタのROMに書き込まれているMACアドレスである。
無線LANを使用するパソコンのMACアドレス・リストを作成し,そのリストのパソコンでなければアクセスできないようルーターに設定することで,無線LANを保護できる。残念ながら,何百台ものパソコンをリストに追加するには長い時間がかかってしまう。ただし,一度リストを作成してしまえば,個々のPCの追加は単純な作業で済む。
その5:暗号化の有効化
Windowsの暗号化機能は,標準ではIEEE 802.11のWEP(Wired Equivalent Privacy)であるが,WPA(Wi-Fi Protected Access)へのアップグレードを検討すべきである。WPAのセキュリティ・モデルはWEPよりも強固であり,Windows XP Service Pack 2(SP2)であれば,WPAに標準で対応している。SP2を適用していないWindows XPを使っている場合でも,MicrosoftのWebサイトからWindows XP用のWPAコンポーネントをダウンロードできる。MicrosoftはWindows 2000用のWPAクライアントを提供していないが,米McAfeeがこちらのサイトでWindows 2000用の無償WPAソフトウエアを配布している。
今回紹介した技術は,多くのメーカーの無線ルーターやアクセス・ポイントが対応している。これらを組み合わせることで,無線LANのセキュリティが堅固になる。
