室長:企業であれば,IEEE802.1Xといった認証技術を使うのが手じゃな。WPAやWPA2は,IEEE802.1X認証を組み合わせて使うことで,それぞれのユーザーの暗号鍵を通信のたびに変えることができるようになっておるんじゃ。

市谷:それってけっこう大がかりなシステムになりませんか?

室長:IEEE802.1Xのための認証サーバーを入れるとなると,インストールや運用の手間もそれなりにかかるしのう。無線LANを使う端末にもIEEE802.1X認証に対応したクライアント・ソフトが必要になるので,対応していないPDAやゲーム機は使えないしな。

室井:予算化することを考えると,すぐには無理かもしれません。

室長:IEEE802.1Xを入れずに共有のパスワードを使うとするなら,安全策は部署ごとの管理者,管理職がパスワードなどの情報を管理する体制を取ることじゃろうか。定期的にパスワードを変えながら,限られた範囲内で情報が行き渡るようにしておくのじゃな。

IEEE802.1Xで認証を厳格にする

 無線LANでパスワード漏えいによる不正アクセスや盗聴を防ぐには,認証を厳密にしてパスワードが漏れないようにする必要がある。そのためにWPAとWPA2では,IEEE802.1Xという認証技術を利用できるようになっている図4)。同一アクセス・ポイントを利用するユーザーが異なるパスワードを使ってログインし,異なる暗号鍵を使いながら通信する。WEPでもIEEE802.1Xを組み合わせた「ダイナミックWEP」という技術がある。IEEE802.1Xを使えば定期的に暗号鍵を取り換えることができるので,WEPでもある程度安全に使えるようになる。

図4●他人の盗聴を防ぐため暗号鍵をつなぐたびに変える
図4●他人の盗聴を防ぐため暗号鍵をつなぐたびに変える
WPAやWEPにIEEE802.1X認証を組み合わせると,暗号に使う鍵をユーザーがつなぐたびに変えられる。他人に通信が漏れる心配はほとんどなくなる。

 ただし,IEEE802.1X認証を使うには無線LANクライアント側に「サプリカント」というIEEE802.1X認証用の機能が必要になる。パソコンは大丈夫だが,ゲーム機はほとんどがサプリカントを搭載していないし,PDAでもちょっと古い機種になるとサプリカントは使えない。

 そのような場合,共有のパスワードを使うほかない。セキュリティを守るには,WPAかWPA2にして,パスワードを厳格に管理することになるだろう。

室長:パソコンやPDAは,OSが新しければWPAとかにも対応しとる。相当手間はかかるが,徐々にでも安全な方式に移行していくといいのじゃなかろうか。

室井:徐々に移行,というのは可能なんですか?

室長:もちろん可能じゃよ。アクセス・ポイントごとにその周囲,そこにつながる端末を整理して,接続方法の変更を伝えて接続させる,という手順を実施して,それをひたすら繰り返せば良いのじゃ。

室井:なるほど。

 方式を変更すると当然ながら,つながる端末すべてに設定変更が必要になる。ただし,アクセス・ポイントを並行運用すれば,業務中に徐々に移行できる。徐々に移行すれば,トラブルが発生した場合にネットワーク全体が停止してしまうこともなくなる。

室長:ただし,移行手順書を作って,ユーザー全員に配るのは考えものじゃ。接続手順を教えるということは,パスワードやパスフレーズも教えなければならないということじゃ。渡した手順書が読まれた後でちゃんとシュレッダーにかけられているか,そこまで気をつけなければならなくなるぞ。手順書は部門ごとの責任者に渡して,その責任者に設定を変えてもらうのが現実的じゃなあ。

室井:なるほど,参考になりました。ちなみに,フリー,あるいは有料で接続できる公衆無線LANサービスのアクセス・ポイントが街中にけっこうありますよね。そうしたものの利用は問題がありますか?

室長:そういう場所でヤバそうなのは,ウイルス感染,盗み見,フィッシングなどかのう。

市谷:ウイルス感染対策は,そのパソコンへのアクセスを遮断し,ウイルス対策ソフトを入れておくことですかね。

室長:そうじゃなあ。ウイルス感染もそうじゃが,通信の盗み見を防ぐときは,まずはWindowsのネットワーク共有を切っておくことが必要じゃろうな。ネットワーク共有ができるようになっておると,わしはここにおるぞ,というブロードキャスト通信をやたらと投げちゃうからのう。