Wi-Fi(無線LAN)は、電波が届く範囲であれば、壁を隔てた向こう側でも通信が可能なので便利だ。

 一方で、電波が届く範囲では誰でも受信できてしまうため、見知らぬユーザーに利用されてしまう可能性がある。この点を考慮せず利用すると、悪意のあるユーザーに勝手に利用されてしまったり、個人情報や企業秘密を狙われたりするリスクを抱えているのだ。つまりWi-Fiでは、認証や暗号化によるセキュリティ対策を講じることが必要である。

無線LAN通信における三つの暗号化方式

 Wi-Fiのセキュリティ対策は1種類ではない。例えばWi-Fiで用いられている暗号化方式にはWEP(Wired Equivalent Privacy)、TKIP(Temporal Key Integrity Protocol)、AES(Advanced Encryption Standard)の3種類がある。このうち最初に使われ始めたWEPは現在、セキュリティ対策にならないと考えてよい。WEPの暗号化を解析するツールが出回っており、数分あれば暗号化を解読することができてしまうためだ。筆者が所属する三井情報では、よほど特別な理由がない限り使用を推奨していない。

 WEPの次に使われるようになったのはTKIPである。TKIPはWEPと比べ暗号の強度は向上したものの、暗号アルゴリズム自体はWEPと同じものを使用している。やはり、時間さえかければ解読できてしまう。そのためWEPと同じく、TKIPも現在は推奨されない方式だ。

 WEPとTKIPの暗号アルゴリズムを抜本的に見直し、より強固なセキュリティを実現した暗号化方式がAESである。AESによる暗号化の解読方法はまだ発見されておらず、暗号化方式の主流として広く使用されている。現在一般的に利用されている無線LAN製品の大半はAESに対応していることから、当社でも基本的にこの方式の利用を推奨している。

 だが実は、暗号化の強度以外にも、WEPとTKIPの使用を避けるべき理由が存在する。

高速な802.11n/acはWEPに対応していない

 Wi-Fi端末とAP間の通信をWEPで暗号化した場合、IEEE 802.11aまたは802.11gで接続されてしまう。これは無線LANの規格ごとに使用できる暗号化の方式が異なっていて、802.11acや802.11nの規格は、WEP、TKIPによる暗号化通信に対応していないことが要因である。

 そのため、最新のWi-Fi端末とAPを802.11acまたは802.11nで接続したつもりでも、WEPを使っているというだけで実際は802.11aまたは802.11gで接続されてしまうため、最大54Mbpsの速度で通信することになる。

 いま説明したのはWi-Fi規格の仕様についてだが、本当にこうした速度低下は起こってしまうのだろうか。実際に802.11acに対応しているAPと端末で確認してみた。

 今回の検証では、APとしてシスコシステムズのAironet 1702iを用意した。これは、IEEE 802.11a/b/g/n/acに対応する企業向けAPである。APの設定や動作を一元管理する無線LANコントローラーは、シスコシステムズのWLC2504を使用。端末は、iPhone7を使用した(写真1)。

写真1●一番上の機器がAP1702、中段機器がWLC2504、下段機器がスイッチ
写真1●一番上の機器がAP1702、中段機器がWLC2504、下段機器がスイッチ
(撮影:三井情報 木内 忠伸)
[画像のクリックで拡大表示]

 SSIDは暗号化方式にWEPを設定した「Test-WEP」と、AESを設定した「Test-AES」の2つを用意した。認証方式はいずれも、パスワードによる認証を設定した(画面1)。WEPの認証手段はパスワードだけ。Test-AESに設定した「[WPA2][Auth(PSK)」は、一般的に「WPA2-PSK」と呼ばれるセキュリティ方式。暗号化方式としてAESを使用し、認証にはパスワードを用いるものである。

画面1●セキュリティ設定の異なる2つのSSIDを用意した
画面1●セキュリティ設定の異なる2つのSSIDを用意した
[画像のクリックで拡大表示]