ある企業のシステム管理者から『年明けはよい区切りなので,日頃見落としがちなセキュリティ・チェックをまとめて行いたい。何かアドバイスしてほしい』と相談を受けました。
前回の長期休暇である夏季休暇は,「第2火曜日の翌日」に設定されているマイクロソフトのセキュリティ情報(パッチ)の定期リリースのスケジュールと重なるケースが多くリスクが高いことを踏まえ,以下のコラムを執筆しました。
特に危険な今年の“夏季休暇明け”,注意すべきセキュリティのポイント(2008/08/12)
年末年始休暇は,ちょうど定期リリースの狭間であり,夏季休暇時のようなリスクは無さそうです。折角の年明けというよい機会ですので,チェックすべきセキュリティのポイントをピックアップしてみたいと思います。具体的には,IPA(情報処理推進機構)から公開されている『漏れたら大変!個人情報』というチェックシートや,パッチの適用漏れがないか,サポートが切れている製品を使用していないか,といった点をまとめてチェックしてみましょう。
いまだに改善が進まない無線LANのセキュリティ
まず,IPAが2008年12月15日に公開した『漏れたら大変!個人情報』というWebページが有益ですので,ぜひ新年のチェックに活用しましょう。
ここには,「経営者」「ユーザー」「ECサイト運営者」「システム管理者」というそれぞれの立場から,個人情報漏えいを防ぐためのチェックポイントと解説が記載されています。非常に簡潔に分かりやすく書かれていて,必見の内容です。
私自身もチェックしてみました。感心したのは「システム管理者」の項の7番目にある『無線LANを使用する場合,適切な暗号化方式を選択していますか?』という項です。
解説に『使用する場合には,WPA2-PSKなどの適切な暗号化方式を選択してください。WEP方式は使用を推奨しません』と明確に記載してあり,併せて『一般家庭における無線LANのセキュリティに関する注意』というWebページも紹介されています。
無線LANの暗号化方式に関して,具体的にWEP方式はNGだと記載することは非常に良いことだと思います。WEPは“wired equivalent privacy”の略ですが,“有線に等しいプライバシ”と名付けられたことは,皮肉に感じられてしまう状況にあります。
無線LAN,WEPでは危ないってご存知ですか?(2008/07/28)
【こちらセキュリティ相談室】第23回 無線LANの安全な使い方(前編)(2008/03/18)
利用率7割のWEPは「1分」で破られる(2008/01/30)
私の結論から言えば,企業は無線LANの暗号化方式として無線LANの業界団体Wi-Fiアライアンスが策定し,企業や組織向けとされる「WPA2-EAP(extensible authentication protocol)」(暗号化アルゴリズムはAES)を使用すべきです。
これまでにも“無線LANの暗号化方式のうち,WEP方式は危険”という啓蒙の情報はいくつかありましたが,その中では,対策として“WPAかWPA2を使いましょう”というトーンが多く見られました。ただ,WPAも既に古く,使用は禁止とすべきです。実際,IPAの『一般家庭における無線LANのセキュリティに関する注意』でも,WPAの項に「暗号化方式として万全とは言えません」と明確に記載されています。
「WPA2-EAP」はユーザー認証方式にIEEE 802.1X方式を採用しており,認証サーバーが別途必要になります(古い「WPA-EAP」もユーザー認証方式にIEEE 802.1X方式を採用)。もし,認証サーバーを準備することが困難だというのであれば,古いWEPやWPA-PSKをそのまま使うのではなく,少なくとも「WPA2-PSK(pre-shared key)」(暗号化アルゴリズムはAES)を採用すべきです。WPA2-PSKは家庭用もしくは小規模オフィス用とされ,認証サーバーが不要です。
ちなみに認証の際に設定する文字数に関しては,総務省の『一般利用者のための情報セキュリティ対策-実践編 安全な無線LANの利用』というWebページでは,『WPA2-PSK方式等による暗号化を行う。認証の際に設定する文字数は,21文字以上とする』と記載されています。
また注意事項として,Windows XP SP2の場合は,WPA2対応のために個別パッチ『Windows XP Service Pack 2用のWi-Fi Protected Access 2(WPA2)/Wireless Provisioning Services 情報要素(WPS IE)に関する更新プログラムについて』を適用する必要があります。
なお,Windows VistaやWindows XP SP3は既にWPA2に対応済みです。一方Windows 2000は,WPA2対応のための個別パッチが提供されていませんので,無線LAN環境下では使用すべきではありません。