WEPキーの定期更新は意外に面倒
無線LANのAPの中には,メーカー独自のユーザー認証機能や暗号化機能を備えた製品もある。しかしB社が設置していたAPは,そうした機能を備えていなかった。B社は既に十数台のAPを導入済み。すべてをセキュリティの高い製品に置き換えると,取り替えコストが大きくかさんでしまう。そこでAPを置き換えずに済むよう,まず運用によってセキュリティを高める方策を練った。最初に検討したのは,暗号鍵を定期的に変更してWEPの欠陥を補う方法。しかし,鍵を変更する作業が膨大になることがネックになった。暗号化に利用するWEPキーは,パソコン上の設定画面でじかに入力する必要がある。必ずしもパソコンに詳しい社員ばかりではないため,鍵の定期的な設定を任せると,トラブルの元になりやすい。
WEPキーの定期変更ではセキュリティの要件をカバーできない――。情報システム担当者は,再考を余儀なくされた。
|
|
図3 B社は無線LANのセキュリティと運用のしやすさを両立するためWPAを導入した 情報システム担当者は当初,WEPキーの定期更新で乗り切るつもりだった。しかし運用の手間がかかりすぎるため断念。APや無線LAN端末のファームウエアの更新でWEPの弱点を解消できる「WPA」を導入した。 |
WPAに切り替えて鍵交換を自動化
担当者が行き着いたのは,WEPの弱点を解消したセキュリティ技術「WPA」の導入である(図3[拡大表示])。WEPに対応したAPは一般に,ファームウエアの変更だけでWPAに対応できる。無線LANカードのWPA対応も速やかに実施した。無線LANの暗号化通信は,主にパソコンのデバイス・ドライバで実現する。B社はパソコンの基本ソフト(OS)を「Windows XP」に統一していた。このため,実際の作業としては,社員に一度OSにパッチを当てるよう指示するだけだった。
WPAはWEPで問題となっていた「同じ暗号鍵を使い回す」という欠陥を修正。具体的にはAPや無線LANカードのMACアドレス,マスター・キーなどを組み合わせ,格段に複雑な暗号鍵を使用する。さらにユーザー認証機能や暗号通信の自動設定機能を追加。管理者やエンドユーザーの手間を大幅に軽減できる。
WPAには,認証サーバーとの間でユーザー認証を実施し,ユーザーごとに異なるマスター・キーが作成されるモードと,マスター・キーをユーザー全員で共有する「pre-shared key」または「ホームモード」というオプション仕様がある。
認証サーバーを新たに導入した場合,数十万円以上の追加コストや運用の手間が増える。B社はコスト面から認証サーバーをあきらめ,WPAをホームモードで運用することにした。これではWEPと大差ないように見えるが,B社は暗号鍵が万一漏えいしても,その鍵からマスター・キーを解読して通信を盗聴されることは不可能と判断した。
