便利で手軽だけど,セキュリティは大丈夫だろうか――。最近,急速に浸透してきた無線LANについて,こんな印象を持っている人が意外と多いのではないだろうか。実際,セキュリティの観点からオフィスでの無線LAN導入を禁止する企業もあるという。では,無線LANのセキュリティを高めるには,どうすればいいのだろう。

 無線LANのセキュリティで気になる主なポイントは二つある。第一は盗聴。無線を使って通信するので,通信中のデータを拾われる危険性がつきまとう。もう一つは不正アクセス。許可していないユーザーが勝手に侵入してくることを防ぎたいが,物理的につながなくてもアクセスできるので,これも頭を悩ませる問題だ。

 対策にはどのようなものがあるのだろう。盗聴については,暗号通信がある。主流となっているIEEE802.11b準拠の無線LANの場合,WEPと呼ぶ暗号通信機能を備える製品が多い。WEPは無線LAN端末とアクセス・ポイントの通信を暗号化する。双方の暗号鍵が一致しないと通信を解読できない。

 不正アクセスの対策は何か。少し前までは,無線LANで使われる専用ID「ESS-ID」で許可のない端末からのアクセスをはじくという手法があった。ESS-IDは複数の無線LANネットワークから目的の一つを識別するための文字列。しくみの上ではESS-IDと無線チャネルが一致しないと通信できない。こうしたことから古い解説書では,ESS-IDでセキュリティを守れると書いていることがある。

 ただしこの手法は,今や安全とはいえなくなっている。なぜなら,最近の無線LAN製品に付属するユーティリティを使うと,全チャネルをサーチして未知のアクセス・ポイントを探せるだけでなく,パソコン側のESS-IDを「ANY」と設定することでアクセスできるケースがあるからだ。アクセス・ポイントによってはANYによるアクセスを禁止できる製品もあるが,普及価格帯のアクセス・ポイントの多くはANYによるアクセスを禁止できないようになっている。

 では,どうしたら許可した端末以外のアクセスを禁止できるのだろう。ちょっと原始的ではあるが,MACアドレスによるフィルタリングが一番確実だ。具体的には,アクセス・ポイントに許可する無線LANカードのMACアドレスを登録し,そこに登録していない端末からのアクセスを拒否するように設定するのである。この作業をきちんとしておけば,未登録の端末がLANに侵入することを確実に阻止できる。

 最近の無線LANカードは,ESS-IDのデフォルト設定がANYアクセスになっていることがある。これを使うと,ユーザーが意図しなくても,結果的に不正アクセスしていたということが起こりうる。無線LANを使うなら,オフィスでも家庭でもセキュリティ機能を使うのがいいだろう。

山田 剛良

<日経NETWORK10月号では,セキュリティ対策を施した無線LANを構築するための解説記事「ネットワーク強化作戦 セキュリティに強い無線LANを作る」を掲載しています。ぜひ,ご覧下さい>