真鍋 浩氏 日本IBM ネットワーク・サービス事業部 ソリューション推進・マーケティング
WEPは盗聴・侵入の危険大
認証手順を使う802.1xが最善
無線LANは,容易に通信データをのぞかれる恐れがある。セキュリティ対策としてこれまで使われていた暗号技術のWEPはぜい弱性が明らかになっており,大規模な企業ネットで使うには,不安要素が多い。セキュリティを高める現在の最適解は,認証サーバーを利用する802.1xである。
精密機器メーカーのB社は2年前から,社内LANを段階的にIEEE802.11b準拠の無線LANに切り替え始めた。
採用した製品には,WEPを使ったセキュリティ機能が搭載されている。B社はセキュリティを高めるため,128ビット暗号鍵によるWEPの運用を開始した。
|
| 図2 B社はセキュリティのぜい弱なWEPに代わって,IEEE802.1x対応の無線LANを採用 解読ツールが出回るなど,WEPのぜい弱性を危ぐしたB社は,秘密鍵を定期的に書き換える応急対策を検討した。しかし,システム担当者が膨大な書き換え作業に煩わされることが判明。そこでRADIUSサーバーによる認証システムや,鍵を接続ごとに更新する機能を備えたIEEE802.1x対応製品を導入。安心して使える企業ネットワークを構築できた。 |
WEPを狙う解読ツールが不安の種
しかし1年ほど前から,「WEPのセキュリティはぜい弱」との指摘が専門家などから相次いだ。そこでシステム担当部門は,無線LANの運用体制を見直すことにした。特に決定的だったのが,WEPの弱点を突く解読ツールがインターネット上で公開されていたこと。ツールは,盗聴した無線信号を処理して,WEPで使う秘密鍵を割り出す機能を備えている。WEPは,無線LANのAPと端末用カードの両方で同じ鍵を使う(図2[拡大表示])。このため,傍受された無線信号からいったん鍵を割り出してしまえば,全端末の通信内容を解読することも可能になる。割り出した鍵を使って部外者が無断でAPに接続し,社内LANに侵入するという危険性も高まる。
暗号鍵の定期更新は膨大な手間
そこで,システム担当部門はまず,鍵を定期的に変更することでWEPの欠陥を補う対策法を検討した。しかし,その作業が膨大になることが判明。WEPで利用する秘密鍵は,パソコン上の設定画面でじかに鍵を入力する必要があるからだ。
鍵の設定をユーザーに任せたり,社内LAN上でツールを使って鍵を自動的に書き換える方法は問題が多い。部外者が既に無線LANを介して社内ネットワークに侵入していると,新しい鍵自体が盗まれる恐れがある。
かといって,システム担当部門の担当者が各部署に出向いて鍵を設定する膨大な作業をこなすのは現実的ではなかった。既にB社は,400台のパソコンを無線LANで接続していた。
