真鍋 浩氏 日本IBM ネットワーク・サービス事業部 技術推進

無線LANクライアントとアクセス・ポイントの間の認証手順などを定めたセキュリティ規格「IEEE802.1x」が2001年6月に公開された。既に対応製品が登場しているが,製品によって実装方式は異なる。どうセキュリティを確保するかは,運用・管理体制や扱うデータの機密性,導入コストなどを考慮して決める。

 無線LAN規格「IEEE802.11」は,「WEP」(wired equivalent privacy)と呼ぶ暗号化方式を使う。しかし,2001年上期に米国の大学や研究所が,WEPのぜい弱性を指摘する論文を発表。セキュリティのもろさを指摘する声が一段と高まった。そこで,IEEE802.1xを使う企業が増えている。

 しかし,IEEE802.1xの利用には認証サーバーなどの導入コストがかかる。予算に余裕がなく,IEEE802.1xを利用できない場合は,運用の工夫でWEPのぜい弱性を補う。

デフォルト設定では誰でも入れる
秘密鍵の変更頻度上げ安全に

多くの無線LAN製品は,WEPなどセキュリティに関する三つの設定項目を持つ。これらをきちんと設定するのはもちろん,手間を惜しまずにWEPの秘密鍵を頻繁に変更することが重要だ。

 広告代理店のA社では,東京本社ビル内にある二つの営業部門が,IEEE802.11b準拠の無線LANを導入した。アクセス・ポイント(AP)は,営業部門が自ら設置。クライアントとして,ノート・パソコン10台分の無線LANカードを用意した。

 ただし,システム部門には報告しなかった。また,製品が持つセキュリティ機能はデフォルト設定のままだった。

取引先が持ち込んだPCから丸見え

 無線LAN導入から数日後,新製品のキャンペーンに関する打ち合わせのため,B社の社員がA社を訪問。B社の社員が製品説明をするのに持参したノート・パソコンは,無線LANカードを装着していた。

 会議室でA社の担当者を待つ間,ノート・パソコンを動かしていたB社の社員は,A社の社内ネットワークにアクセスできることに気づいた。A社が扱う他の広告主の情報も読み出せてしまう。営業部門は会議室とは別のフロアーにあったが,営業部門のAPからの電波が床を透過して届いていたのだ。

 A社のAPもB社の社員の無線LANカードも,Wi-Fiロゴを取得したIEEE802.11b準拠の製品だった。Wi-Fi準拠の製品は,出荷時の状態で相互接続できる設定になっている。さらに,A社はDHCPサーバーを設置していたので,B社の社員はIPアドレスを自動的に取得でき,ネットワーク上の各種サーバーにアクセスできてしまったというわけである。

 B社の社員は,A社の担当者にこの問題を指摘。驚いたA社の担当者は,システム部門に連絡し,無線LANのセキュリティ機能の設定を依頼した。