真鍋 浩氏 日本IBM ネットワーク・サービス事業部 技術推進
802.1xの対応OSに困惑
PKI不要の独自認証を採用
IEEE802.1x規格に準拠した製品は,WEPの秘密鍵を動的に生成する機能を持つ。ただし,認証方式や対応OSが製品によって異なる。各製品の仕様をきちんと把握して,自社ネットワークに適した製品を選ぶ必要がある。
経営コンサルティングを手がけるC社は,無線LANを自社ネットワークに導入する計画を立てていた。しかし,2001年後半にWEPの秘密鍵を解読するAirSnortなどのクラッキング・ツールがインターネット上で公開され,無線LAN導入の大きな障害となった。
幸いにして,WEPのぜい弱性に対処した新しいセキュリティ規格「IEEE802.1x」に準拠する無線LAN製品がいくつか登場してきた。C社は,IEEE802.1x対応製品を導入することで,この問題に対処することにした。
暗号化されないSSIDとMACアドレス
C社は,機密性の高い顧客情報を大量に保有する。このため,高いセキュリティ・ポリシーを持っており,SSIDとMACアドレス・フィルタリングはセキュリティ機能としては不十分だと判断していた。
SSIDは,WEPを使用しても暗号化されないため,盗聴により簡単に知られてしまう可能性が高い。その上,Windows XPなら,APがビーコン・フレームでブロードキャストするSSID情報を収集して利用可能なAPを表示する機能を持つ。C社は,SSIDは無線LANのセグメントを論理的に分ける機能に過ぎないと考えた。
MACアドレスも同様に,WEPで暗号化されない。このため,盗聴により利用可能な端末のMACアドレスを知られる可能性が高い。盗聴したMACアドレスを偽造してAPから接続を許可された端末を装うことは,専門知識を持つクラッカなら難しくはない。
