• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

1週間で学ぶネットワークの要点

今すぐできる無線LANのセキュリティ強化術(1)第3回

メーカー間の仕様差に落とし穴
運用による強化は負担増の危険も

山原崇・駒津典生 2004/06/03 日経コミュニケーション
出典:2004年1月12日号92ページ
(記事は執筆時の情報に基づいており、現在では異なる場合があります)
目次一覧

WEPキーの定期更新は意外に面倒

 無線LANのAPの中には,メーカー独自のユーザー認証機能や暗号化機能を備えた製品もある。しかしB社が設置していたAPは,そうした機能を備えていなかった。B社は既に十数台のAPを導入済み。すべてをセキュリティの高い製品に置き換えると,取り替えコストが大きくかさんでしまう。そこでAPを置き換えずに済むよう,まず運用によってセキュリティを高める方策を練った。

 最初に検討したのは,暗号鍵を定期的に変更してWEPの欠陥を補う方法。しかし,鍵を変更する作業が膨大になることがネックになった。暗号化に利用するWEPキーは,パソコン上の設定画面でじかに入力する必要がある。必ずしもパソコンに詳しい社員ばかりではないため,鍵の定期的な設定を任せると,トラブルの元になりやすい。

 WEPキーの定期変更ではセキュリティの要件をカバーできない――。情報システム担当者は,再考を余儀なくされた。

図3 B社は無線LANのセキュリティと運用のしやすさを両立するためWPAを導入した
情報システム担当者は当初,WEPキーの定期更新で乗り切るつもりだった。しかし運用の手間がかかりすぎるため断念。APや無線LAN端末のファームウエアの更新でWEPの弱点を解消できる「WPA」を導入した。

WPAに切り替えて鍵交換を自動化

 担当者が行き着いたのは,WEPの弱点を解消したセキュリティ技術「WPA」の導入である(図3[拡大表示])。WEPに対応したAPは一般に,ファームウエアの変更だけでWPAに対応できる。

 無線LANカードのWPA対応も速やかに実施した。無線LANの暗号化通信は,主にパソコンのデバイス・ドライバで実現する。B社はパソコンの基本ソフト(OS)を「Windows XP」に統一していた。このため,実際の作業としては,社員に一度OSにパッチを当てるよう指示するだけだった。

 WPAはWEPで問題となっていた「同じ暗号鍵を使い回す」という欠陥を修正。具体的にはAPや無線LANカードのMACアドレス,マスター・キーなどを組み合わせ,格段に複雑な暗号鍵を使用する。さらにユーザー認証機能や暗号通信の自動設定機能を追加。管理者やエンドユーザーの手間を大幅に軽減できる。

 WPAには,認証サーバーとの間でユーザー認証を実施し,ユーザーごとに異なるマスター・キーが作成されるモードと,マスター・キーをユーザー全員で共有する「pre-shared key」または「ホームモード」というオプション仕様がある。

 認証サーバーを新たに導入した場合,数十万円以上の追加コストや運用の手間が増える。B社はコスト面から認証サーバーをあきらめ,WPAをホームモードで運用することにした。これではWEPと大差ないように見えるが,B社は暗号鍵が万一漏えいしても,その鍵からマスター・キーを解読して通信を盗聴されることは不可能と判断した。

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

ネットワーク/通信サービス

セキュリティ

もっと見る