真鍋 浩氏 日本IBM ネットワーク・サービス事業部 技術推進
|
|
図1 A社は,無線LAN製品が持つ三つのセキュリティ関連機能を活用することで,盗聴や不正アクセスのリスクを低減 具体的には,(1)単にWEPと呼ぶ暗号化機能を使うだけでなく,その秘密鍵を手作業で頻繁に変更,(2)各アクセス・ポイント(AP)とクライアントにSSIDと呼ぶ識別子を設定し,アクセス可能なクライアントを限定,(3)各APにアクセス可能なクライアントのMACアドレスを限定――した。 |
|
| 写真1 無線LANクライアント側のSSID(service set identifier。写真左)とWEPの秘密鍵(写真右)の設定画面 |
|
| 写真2 無線LANアクセス・ポイント側のMACアドレス・フィルタリング機能の設定画面 |
3機能の設定でとりあえず安全を確保
しかし,A社のシステム部門は,無線LANについてあまり詳しい知識を持っていなかった。製品マニュアルに目を通した後,無線LANベンダーに電話で問い合わせたところ,まずは製品が持つ次の3機能を設定すべきだと分かった。(1)WEP,(2)SSID(service set identifier),(3)MACアドレス・フィルタリング――である(図1[拡大表示])。
WEPは,WEPキーと呼ぶ秘密鍵でデータを暗号化する機能だ。無線通信を傍受されても,解読できなくする。また,秘密鍵を持っていないとAPに接続できず,不正アクセス防止にもなる。A社のシステム部門は,WEPには128ビットと40ビットの2種類があり,後者は64ビットWEPと呼ばれることもあると知った(写真1[拡大表示])。
SSIDは,APに設定する識別子である。APと同じ値を設定した無線LANクライアントだけが,そのAPに接続できるようにする。
三つめのMACアドレス・フィルタリングは,IEEE802.11で定義されていないが,A社が導入したAPを含め,多くの製品がサポートしている。MACアドレスを事前登録したクライアントだけが,APと通信できる(写真2[拡大表示])。
A社のシステム部門は,これら三つの機能を活用することで,スクリプト・キディなど専門知識がない者からの攻撃は防げるようにした。
秘密鍵を毎週変更してリスクを低減
しかし,万一,顧客情報が外部に流出したら信用問題だ。そこで,A社はセキュリティを高めるため,WEPの秘密鍵を毎週変更することにした。
A社が秘密鍵を頻繁に変更する目的は,WEPのぜい弱性を突いたクラッキング・ツール「AirSnort」などで暗号を解読される危険性を減らすことだ。また,仮に解読された場合も,不正アクセスや盗聴したデータが解読される範囲を少なくできる。
現時点で,A社が利用するAPとクライアントは数が少ない。このため,WEPの秘密鍵は営業部門のセキュリティ担当者が毎週月曜日に手作業で変更している。
このように,無線LANの導入規模が小さければ,WEPだけでも運用上の工夫で,ある程度のセキュリティ・レベルを得られる。ただし,機密性の高いデータを扱う場合は,認証サーバーを追加して,IEEE802.1x認証を利用すべきである。
