特集・コラム

無線LANコラム

第2回 無線LANシステム設計・構築におけるセキュリティ面の考慮について

著者:デジタルビジネス本部 高橋 孝文

企業のスマートフォンやタブレット導入により、エンタープライズ向け無線LANシステム需要が年々高まっていることを肌で感じる今日この頃。 無線LANは利便性の向上と引き換えに、従来の有線LAN環境では考慮する必要がなかった新たなリスクを生みました。

それらのリスクについてご紹介しながら、併せてシステム設計・構築のフェーズでリスクを回避、軽減する手法について説明していきます。

1. 回避できないリスク

無線LANのウィークポイントは、以下の通りです。

データが傍受可能であること

無線LAN通信のデータは、端末~無線LANアクセスポイント間を電波に乗せてやり取りをすることになりますが、この区間のデータは誰でも受信できます。
携帯電話などで使用する周波数帯とは違い、無線LANで利用する電波の周波数帯は、無線LANを利用可能なPCであれば容易に受信することが可能であり、データの中身を見られてしまうリスクが高いと言えます。

結果、無線LAN接続に必要な情報を不正入手され、不正侵入されるリスクが高いと言えます。

傍受されやすい情報

(1) SSID
無線LANシステムにおいて、端末は自身が接続すべきSSIDを何らかの形で指定する必要があります。

無線LANシステム側でこの情報をブロードキャストさせず、送出する電波からSSID情報を隠蔽することができます。
これにより、端末は自身が接続すべきSSID情報を自ら発信しないと目的の無線LANサービスへ接続できない状態となります。

一般的にこの手法を「SSID隠蔽」または「SSIDステルス設定」と呼びます。

この手法により、接続すべきSSID文字列を知らないユーザーからの接続要求を防ぐことができると考えられます。しかし実はこの設定は、特定の管理フレーム内からSSID文字列を隠すことはできますが、実データ(端末が実際に通信しているデータ)からは消えません。

つまり、パケットキャプチャにより、近辺の無線アクセスポイントから発せられるSSID情報を入手し、接続を試みることが可能となります。 よって、SSID隠蔽設定のみでは、セキュリティ対策として十分とは言えません。
(2) MACアドレス
個体認証の比較的ポピュラーな認証方式として、MACアドレス認証がありますが、無線LANカードのMACアドレスは、802.11ヘッダに必ず載ってしまいます。

データの暗号化等により保護できるようにも思われがちですが、これは802.11フレームのデータ部分を暗号化する技術であり、ヘッダにおける暗号化技術ではありません。

よって、MACアドレスは、現在利用可能であるどんな暗号化方式を採用しても、隠すことができません。 また、MACアドレスを詐称することは容易に可能であるため、MACアドレス認証のみでのセキュリティ対策は十分とは言えません。

これらの情報を傍受されることにより、外部からの悪意あるユーザーによる社内ネットワークへの不正侵入のリスクが生じます。

2. リスクを解消するためのアプローチ

前述のリスクを回避する手法として、認証処理が挙げられます。

認証手法の選択

無線LANシステムは基本的に、接続可否を下記いずれかの認証情報を用いて処理することが可能です。
(1) パスフレーズ
目的のSSIDへ接続するためのパスフレーズです。SSIDごとに変更可能です。
無線LANシステム側で設定したパスフレーズを、端末側で入力させ、一致した場合に接続を許可します。

目的のSSID接続要求する全ての端末が同一のパスフレーズとなります。
そのため、パスフレーズの漏洩により、どの端末からも接続可能となるリスクがあります。
(2) ユーザーID/パスワード
ユーザーごとにIDとパスワードを持つ方式です。
無線LANシステム内、または外部の認証サーバ内にユーザー情報を登録し、接続を要求してきた端末から送られるユーザー情報と照合し、接続可否の判定をします。

ユーザーごとに接続情報が異なるため、パスフレーズ方式よりも認証情報の漏洩によるリスクが軽減されます。
(3) 証明書
端末に対し、デジタル証明書をインストールする方式です。
外部の認証サーバ内にユーザー情報を登録し、接続を要求してきた端末から提示されるデジタル証明書情報を確認し、接続可否の判定をします。

証明書を持っている端末のみが無線LANへの接続を許可される方式で、現在、最もセキュリティレベルが高いと言われています。

ご紹介した順番通りに、実装の難易度は高くなります。
特に(2)、(3)に関しては、無線LANシステム以外の機器との連携が必要となるケースが多く、更にはアカウント情報の運用、管理についても検討する必要があるため、お客様を交えて実装検討をする必要があります。

今回は、無線LANセキュリティの考慮という観点で、不正侵入に関するリスクと対策について概要をご紹介しました。

次回は同じセキュリティの考慮について、データの保護(盗聴)におけるリスクと対策をご紹介させていただく予定です。
サービス&ソリューションに関するお問い合わせ・ご相談 03-5210-8100 平日:

※記載内容は掲載当時のものであり、変更されている場合がございます。

CTCシステムマネジメントTOP>特集・コラム> 無線LANコラム > 第2回 無線LANシステム設計・構築におけるセキュリティ面の考慮について

ソフトウェア ロボットソリューション 詳しくはこちら メールマガジン 登録はこちら
一覧を見る

事例紹介

長年の安定した品質により、数多くのお客様のビジネスを支えています。

一覧を見る資料DL

pagetop