無線LANのニーズは拡大の一途
ビジネスを進めるうえで欠かせない存在となった無線LAN。オフィスや店舗、事業所などでは当たり前のように無線LAN環境が整備され、日々活用されている。特に近年は、働き方改革やデジタル変革といった取り組みが活発化し、無線LANに対するニーズはより一層の高まりを見せている。
たとえば働き方改革では、オフィス内のフリーアドレスを進めるために、会議室などの一部から、すべてのフロアまでを無線LAN化する動きが進んでいる。デジタル変革では、工場や店舗にIoTデバイスやWebカメラを設置してデータを収集するといった取り組みで、無線LANが活用されるようになった。
エリアや用途の広がりだけでなく、無線LANに接続するデバイスも増加している。かつて社内の無線LAN環境というと、1人1台のノートPCをつなぐといったケースがほとんどだった。だが今は、スマートフォンやタブレットなど、1人で複数のデバイスを使いこなすことが当たり前になっている。
スマートフォンを内線化し、音声系ネットワークとして利用するシーンも増えてきた。また、社員の私物端末をBYODとして運用したり、複合機やネットワークカメラなどのオフィス機器の無線LAN対応が進んだりと、「無線LANの広域化」と「つながる端末の増加」はとどまるところをしらない。そして、今やこれが企業ネットワークの標準環境になったといってもいいだろう。
そんななか、あらためて懸念されるようになったのが「無線LANセキュリティ」だ。無線LANは既に企業のビジネスを支える重要なインフラであり、無線LANセキュリティはそれらの安心・安全を確保するためになくてはならない要件になっている。
ただし実際には、無線LANセキュリティについての過信や誤解が数多く見受けられる。たとえば「強固なパスワードを設定しているから簡単には破られない」「MACアドレスフィルタリングで端末認証しているから大丈夫」といった考え方だ。パスワードやMACアドレスフィルタリングは、確かに無線LANセキュリティを構成する要素ではあるが、その一部にすぎず、また利用用途によっては全く意味をなさない場合すらある。これだけでは重要インフラを守るための要件を満たせないのだ。
それではどのような考え方に基づいて、無線LANのセキュリティを確保していけばいいのだろうか。
無線LANセキュリティを構成する3つの要素
まず、無線LANセキュリティの基本に立ち返るために、情報セキュリティの3要素を確認しよう。情報セキュリティの3要素とは、機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)のことで、頭文字をとって「CIA」などとも呼ばれる。これらは国際標準規格である情報セキュリティマネジメントシステム認証(ISMS、ISO/IEC27001)でも規定されており、情報を正しく管理するための3原則ともなる。
機密性 | Confidentiality | いかに情報が漏れないように管理するか |
---|---|---|
完全性 | Integrity | 情報が正しく完全であることを いかに示すか |
可用性 | Availability | 情報を利用したいときに 利用できる状態にしておくには |
無線LANセキュリティにおいても、「機密性」「完全性」「可用性」の3つの要素を満たすことがポイントとなる。たとえば先ほど挙げたパスワードの設定などは、このうちの「機密性」を確保する施策となるが、これだけで十分とはいえないのだ。
「機密性」を確保するには
情報セキュリティの1つめの要素である「機密性」は、いかに情報が漏れないように管理するかという課題だ。そのためには、情報に対してアクセス制限をかけたり暗号化したりして、許可された者だけがアクセスできるようにする。要はIDとパスワードなどの「認証」によって機密性を確保するわけだ。
無線LANセキュリティにおいては、SSIDのパスフレーズ(PSK:プリシェアードキー)などが認証の手段となる。ただしこれらは全てのデバイスで同じフレーズを用いるため運用性に問題があり、盗まれたり、不正に悪用されたりするリスクもある。そのため、単にパスフレーズを設定して安心するのではなく、これに代わる「盗まれにくい認証手段はないのか」「盗まれたときにどう対処するのか」「本人認証以外の認証手段はないのか」などを検討していく必要があるのだ。たとえばIEEE802.1X認証(EAP-PEAPなど)、多要素認証/ワンタイムパスワード、認証情報の管理方法などが挙げられる。
「完全性」を高めるには
2つめの要素である「完全性」は、情報が正しく完全であることをどう示すかという課題だ。言い換えると、いかに情報が改ざんされていないことを証明するかという話になる。
これはリアルな世界でいえば、契約書が正しいことを本人の印鑑を使って確認する行為に近いだろう。情報セキュリティにおいて「印鑑」と「印鑑証明」にあたるのが、「電子署名」と「電子証明書」だ。電子署名と電子証明書を使って、本人かどうか、登録済みの端末かどうか、改ざんがされていないか、といった「完全性」を確認することが求められる。
無線LANセキュリティでは、IEEE802.1X認証における電子証明書の利用(EAP-TLS)や、クライアント証明書によるデバイス認証などを検討していくことになる。
なお、「完全性」を「ネットワーク全体における認証のあり方」のような広義でとらえると、認証情報を連携させるシングルサインオンや、認証要求を受け付けない古いデバイスの管理、有線LANと無線アクセスポイントが組み合わさったネットワークの管理、私物端末の検知やブロックなども検討材料に入ってくるだろう。
「可用性」を高めるには
3つめの要素である「可用性」は、情報を利用したいときに利用できる状態にしておくことだ。もし情報が壊れたり、アクセスできない状態になったりしていると、利用したいときに利用できない。
無線LANセキュリティの場合は、無線LANの冗長化や障害復旧対応を検討することが求められる。また、すぐに利用できる状態になるか、安定して動作する信頼性があるかといったことも「可用性」の条件となる。具体的には、ネットワークを冗長化できるか、機器が故障せず動作するか、認証サービスやその後のネットワークアクセスに欠かせないDHCPやDNSサービスが安定して提供されているかなどが挙げられるだろう。
あらためて考えるこれからの無線LANセキュリティ
無線LANがビジネスを支える重要インフラとなった今、こうした情報セキュリティの要素をいかに適切に整備していくかが重要となる。もしそれをせず、無線LAN環境を問題のあるまま運用していったらどうなるだろうか。
たとえば「パスフレーズと暗号化だけで十分」といった運用を続けていると、パスワードの紛失や漏洩、退職者による不正なアクセスなどによって、無線LANセキュリティは簡単に破られてしまうことになる。
また「パスワードが漏れてもMACアドレスによるフィルタリングがあれば大丈夫」というのも、よくある誤解だ。MACアドレスは無線LAN通信上では暗号化されておらず電波を傍受さえすれば知ることがでる。そこで入手した値に偽装することも簡単だ。つまりMACフィルタリングは認証手段としては不十分で、攻撃者に不正アクセスの意思さえあれば、なんの苦もなく突破されてしまう。
では実際のところ、どのようにして無線LANセキュリティを整備していけばよいのか。次回からは、ソリトンシステムズの「NetAttest EPS」「NetAttest LAP」「NetAttest D3」を例に、無線LANセキュリティに求められる具体的な要件と解決策を探っていく。
[PR]提供:ソリトンシステムズ