複数の対策を組み合わせる

図3●セキュリティを強化するための方策

 このように無線LAN製品が標準で備えるセキュリティ対策機能だけでは,かなり危険な状態である。ただ,弱いとされていても,ないよりはまし。上記3つの対策は最低限実施しておきたい。さらにその上で図3[拡大表示](1)~(5)のような対策を検討する必要がある。既に無線LANを導入済みの場合は(1)や(2)の後付けで対応するか,(3),(4),(5)の対応製品に買い替えることになる。

 最も手軽にできる対策が(1)である。WEPキーを頻繁に変更することで,前述したWEPのぜい弱性をある程度回避できる。どのくらいの頻度で変更するかは通信量に依存する。例えば写真1のツールの場合,weak IVのパケットが1200~1500程度で解読できることもあれば,3500~4000程度ないと解読できないケースもあるとしている。目安では全体で500万~1000万程度のパケットが必要としており,この量が流れる前にWEPキーを変える必要がある。11Mbpsの回線に常に1500バイトのデータが流れていれば,約1.5時間[(5000000*1500*8)/(11*10^6)=約5455]で500万のパケットが流れてしまう。使用頻度が少ない,数人しか使ってない,といった小規模環境でないと(1)の運用は難しい。

 (1)の運用が難しく,後述する(3),(4),(5)の対策がとれない場合は(2)が候補となる。SSLやsshなどで重要な通信のみを暗号化,またはVPNを構築してすべての通信を暗号化する。ただ,追加投資がかかり,かつ,個々のクライアントに専用ソフトが必要になるケースが多い*4。また,通信を暗号化しても不正侵入の危険性は残る。APと社内LANの間にルーターやファイアウオールなどを設置し,VPN以外のトラフィックはフィルタリングした方がよい。クライアント自身に侵入される恐れもあり,後述するクライアント側のセキュリティ対策も重要になる。

 最近では,(3)IEEE802.1x/EAPと呼ばれる規格を利用してユーザーを認証し,WEPキーを動的に変更できる製品も出てきた。ファームウエアやドライバのバージョン・アップで対応できる製品もあるが,IEEE802.1x/EAPに対応した認証サーバーなどが必要になるのでコストはかかる。

図4●IEEE802.1x/EAPで使用する認証方式ごとの注意点

 また,IEEE802.1x/EAPでは具体的な認証方式まで規定していないため,使用する認証方式ごとにさらに注意点がある(図4[拡大表示])。認証方式には主に(1)EAP-MD5,(2)EAP-TLS,(3)製品独自の方式*5――の3つがあり,(1)はユーザー認証のみでWEPキーの動的な変更はしない,(2)は電子証明書を利用してクライアントとサーバーの双方向で認証,WEPキーを動的に変更するが,証明書を使うのでCAサーバーが必要になる,(3)はユーザーを認証,WEPキーを動的に変更するが,同一製品で統一する必要がある。

 高価である点と1社に囲い込まれてしまう点に目をつぶれば,(4)独自の対策機能を備えた製品に買い替えるのは有効な手段である。例えば,米Cisco Systemsの「Aironet」や米Proximの「Harmony」は独自の仕組みを使い,ユーザーやセッションごとにWEPキーを動的に変更できる機能を備える。

 現在IEEEが標準化を進めている,無線LANのセキュリティを強化するための仕様「IEEE802.11i」に対応した製品を待つ手もある(5)。IEEE802.11iは現在,AES(Advanced Encryption Standard)とTKIP(Temporal Key Integrity Protocol)の2つの案があり,最終的にどうなるかは決まっていない。ただ,どちらにしても図2で示したWEPキーの問題は解決される。現在の製品でも,ファームウエアやドライバのバージョン・アップで対応できる可能性がある*6

クライアント側の対策なども重要

 無線LANに関連するセキュリティ対策としては,ここまで見てきた以外にもやっておきたいことがある。

 まずAP自身へのアクセスを制限する。設定情報の漏えいや勝手な変更を防ぐために,APに対するHTTPやtelnet,SNMPの通信はユーザー認証をかけるか,フィルタリングしておく。

 不正なAPが設置されていないかを定期的にチェックすることも大切だ。対策されていないAPが勝手に設置されると侵入を容易にしてしまう。APの検出には,前述したWindows XPや無線LAN製品に付属するユーティリティ,インターネットで公開されているツールを使うと便利である*7

 クライアント自身のセキュリティ対策にも気を配りたい。クライアントが攻撃されてそこから重要なデータが漏えいしたり,VPNのクライアント・ソフトや認証情報を盗まれたりする危険性がある。ファイル共有は無効にする,パーソナル・ファイアウオールを導入する,重要なデータは暗号化する――といった対策が不可欠だ。

 また,最近では,“ホットスポット”と呼ばれる,無線LANのインターネット接続サービスが増えてきた。しかし,これらのサービスでは「セキュリティ対策はユーザー側に委ねられている」(ディ アイ ティ 営業本部 営業企画部 シニアマネージャー 飯嶋淳氏)。利用する場合はまずどのような対策がとられているかを確かめ,必要に応じて自己防衛する必要がある。

 例えばNTTコミュニケーションズが2002年5月に提供開始したサービスでは,ユーザー認証,SSID/ESSIDによるグループ分け,WEPによる暗号化などの対策を実施しているが,「ESSIDとWEPキーは全ユーザー共通なので,気休めにしかならない。セキュリティが重要なビジネス・ユーザー向けにはオプションで提供しているIPSecによるVPN構築サービスを利用してほしい」(ユーザアクセス部 担当部長 田部井俊幸氏)としている。

(榊原 康=sakakiba@nikkeibp.co.jp)