COMWARE PLUS プラス・サムシングを大切なお客さまへ

メールマガジンのご登録
ポスト
        
        

十分な暗号化と機器の認証が重要

企業内の無線LANを安全に保つには、どのようなセキュリティー対策を講じるべきでしょうか。

まずは通信の暗号化です。これによって、ネットワークへの不正な接続、通信内容が第三者に漏れてしまうことを防ぎます。

ただし、暗号化方式によって強度が変わるため注意が必要です。普及しているのは「WEP」「WPA」「WPA2」の3種類ですが、そのうち「WEP」は短時間で解読が可能であり、大変危険です。

「WPA」と「WPA2」では、暗号化プロトコルとして「TKIP(Temporal Key Integrity Protocol)」とより安全な「CCMP(Counter Modewith Cipher Block Chaining MAC Protocol)」のいずれかを選択できます。

同じ暗号化プロトコルを用いればセキュリティーは同等とされていますが、「CCMP」を標準とする「WPA2」と認証プロトコル「EAP(Extensible Authentication Protocol)」を組み合わせた「WPA2-EAP」を選択すると良いでしょう。「WPA2エンタープライズ」とも呼ばれています。

小規模なネットワークであれば、認証に事前共有キーを利用する「WPA2-PSK」を用いるケースもあります。ただし、事前共有キーは共通の文字列を用いますので、暗号化キーが企業外部へ漏れてしまえば、部外者が自由にアクセス可能となってしまいます。

多数がアクセスする企業の無線LANであれば、ネットワークへ接続した際に、ブラウザーから認証を求める「ウェブ認証」や、認証サーバーにより大規模な組織の管理にも対応する「IEEE 802.1X認証」などを活用します。「WPA2-EAP」では「IEEE 802.1X認証」をサポートしています。

加えて近年、個人端末を業務に利用するBYOD(Bring Your Own Device)が広がりを見せていることから、従業員が許可を得ずに私物の端末を無線LANに接続するケースも想定しておかなければなりません。本来接続する必要がない端末経由でマルウェアが持ち込まれ、組織内へ感染が広がるといったリスクも考えられます。企業においては、不用意に接続しないようセキュリティーポリシーを定めることはもちろん、端末認証を導入し、技術的に接続できないよう制限します。

また、APの管理にも注意を払います。管理者用パスワードは、初期設定から必ず変更し、類推できるようなパスワードや、簡易なパスワードは避けて、文字数が長く大文字や小文字、数字、記号を組み合わせた複雑なものを設定します。また脆弱性が存在しないよう、定期的にファームウェアのアップデートを確認することも重要です。

公衆無線LANに潜む「盗聴」リスク

公衆無線LANに潜む「盗聴」リスク

無線LANの利用シーンは、企業内部に限りません。外出先で公衆無線LANを利用してインターネットに接続するケースも増えています。

情報処理推進機構(IPA)が、2016年12月に公表した「2016年度情報セキュリティの脅威に対する意識調査」によると、スマートデバイス利用者の31.5%が無料で提供されている「公衆無線LAN」を利用すると回答しました。2014年度は8.8%ほどでしたが、ここ数年で急激に利用が拡大しています。

さらに驚くことに、同調査ではプライベートやビジネス(学業)で無線LANを利用するユーザーのうち、38.0%が公衆無線LANへ接続していました。またビジネス(学業)のみで無線LANを利用している回答者も21.6%が公衆無線LANを活用していました。

公衆無線LANは主に交通機関や飲食店、コンビニエンスストア、観光地などで提供されています。2020年の東京オリンピック・パラリンピックの開催を見据え、訪日外国人が利用できるよう、国でも公衆無線LANの整備、拡大に取り組んでおり、今後ますます利用が進むことが予想されます。

暗号化されていない、または暗号の強度が弱い公衆無線LANでは、通信内容が盗聴される恐れがあります。ただし、暗号の強度が高ければ安全というわけではありません。公衆無線LANのように暗号化キーを不特定多数の利用者が共有しているケースでは盗聴の危険性があります。

第三者に通信が盗聴されれば、機密情報の漏えいなど生じる恐れがありますが、なかでもIDやパスワードなどのアカウント情報が窃取されれば厄介です。社内ネットワークや各種サービスへアクセスされれば、さらなる大きな被害へ発展する恐れがあります。

またAPには、悪意を持って設置されたAPも存在します。実在する正規のAPと同一のSSIDや暗号化キーが設定されており、端末にも接続情報が保存されている場合、悪意のAPを認識すると自動的に接続してしまう場合もあります。

公衆無線LANを利用してマルウェアへ感染させる「Darkhotel」と呼ばれるサイバー攻撃もセキュリティーベンダーによって確認されました。ホテルにおいて宿泊客が公衆無線LANに接続すると、パソコンへ偽のログイン画面を表示して情報を収集し、さらにソフトのアップデートに見せかけてマルウェアをインストールさせていました。Darkhotelの国別の検知数では日本がもっとも多く、主な標的になっていると見られています。

次ページ 公衆無線LANを利用するならVPNの活用が不可欠

ポスト

事例紹介

スマートフォン用リンク

エバンジェリストが語るICTの未来

スマートフォン用リンク

ページトップへ

トップへ