| エンタープライズ:ニュース | 2002/07/19 22:20:00 更新 |
無線LAN環境のセキュリティ(後編) 有効な対策とは? (1/2)
無線にしても有線にしても、ネットワークに100パーセント安全はありえない。しかしこれから紹介するように、無線LAN環境での認証や暗号化、効率的な管理を目的とした製品が登場している。こうした製品を暗号化やアクセス制御、監視といった他の対策と組み合わせ、システム全体のセキュリティ対策の中に位置付けていくことで、全体的なセキュリティレベルの向上を図ることができる。
前編では、無線LANの導入によって、どのようなセキュリティ上のリスクが生じうるかを紹介した。
もちろん無線にしても有線にしても、ネットワークに100パーセント安全はありえない。だが無線LAN普及のスピードがあまりに早いため、セキュリティにまで意識が回っていないし、有効な技術も追いついていないというのが正確な表現だろう。
しかしこれから紹介するように、無線LAN環境での認証や暗号化、効率的な管理を目的とした製品が登場してきており、時間とともに充実していくはずだ。こうした製品を暗号化やアクセス制御、監視といった他の対策と組み合わせ、システム全体のセキュリティ対策の中に位置付けていくことで、全体的なセキュリティレベルの向上を図ることができる。
ケーススタディ:どんな対策が必要か?
では具体的な手段だが、保護したい情報の重要度とリスクの大きさ、自分が投入できる予算や労力を勘案し、バランスの取れた対策を取る必要がある。ここでは大まかに、3つのパターンに分けて考えてみよう。
1)自宅で利用する
前編で紹介したとおり、完全な対策にはなりえないが、まずESS-IDとWEP、MACアドレス認証の3つを設定する。つい先日にはソースネクストが、これらの設定を手助けするための製品「鉄壁 無線LAN」を発表しており、設定に自信がない場合にはこうしたツールを利用してもいいだろう。
鉄壁 無線LANの画面
パーソナルファイアウォール製品の併用も、無線LANの有無にかかわらず有効だ。例えばADSL回線からブロードバンドルータ経由で無線LANアクセスポイントを設置している(2つが兼ね備わっている場合もある)とき、外側から内側に向けてのパケットに対しては、何らかのフィルタリングを行なっている場合が多いだろう。だが逆向きはどうだろうか? 万一無線LAN経由で自宅のネットワークに部外者が侵入し、インターネット側に出て行ってしまうことを考慮すれば、外向きの不必要なポートも閉じるべきだ。
もう1つ注意が必要なのは、自宅とオフィスの両方で同一のノートパソコンを利用している場合だ。自宅での作業中にウイルスに感染し、それがオフィスで広まるというケースは意外と多い。会社のセキュリティポリシーにもよるだろうが、通信時にはしかるべき暗号化を用いるともに、アンチウイルスソフト/パーソナルファイアウォールによる検査を定期的に行なう。
2)ホットスポットでの利用
最近マスコミで登場することの多い公衆無線インターネットサービス、いわゆるホットスポットだが、たいていはESS-IDやWEP、およびユーザーIDによる認証などを組み合わせている。ただ中には、全ユーザーに共通のWEPキーを利用させるサービスもあり、セキュリティ的には心もとない。
ちょっとしたWebブラウジング程度ならば問題ないかもしれないが、普通に通信していれば盗聴される可能性はあると割り切って利用すべきだろう。同時にSSH、あるいはIPSec、HTTPSなど、他のレイヤでの暗号化を併用するのが望ましい。
3)オフィスでの利用
もしあなたが管理者ならば、まず「隠れアクセスポイント」を一掃する。そして、自宅で利用する場合と同様に、ESS-IDおよびWEP、MACアドレス認証を用いるべきだ。厳密を期して、定期的にESS-IDやWEPキーを変更するのが望ましい。
それでも、顧客情報をはじめ業務にかかわる重要な情報をやり取りするには、十分とはいえない。オフィスで無線LANを導入するならば、IPSec/PPTPやSSHを併用するのが、今の時点では最善の手段だろう。
また、これはあくまで盗聴への対策であり、並行して何らかのユーザー認証が実現できばそれに越したことはない。そのための規格がIEEE802.1xである。802.1xでは、端末ではなくユーザー単位の認証が可能になる。
したがって、企業ネットワークで無線LANを導入する場合、現時点での最適解は、IPSec/PPTP/SSHによる暗号化でデータを盗聴から保護するとともに、802.1xを用いてユーザー認証を行うことだといえる。VPNは、無線LANに限らずトラフィック全体を保護する意味で、導入を検討する価値は十分にある。
[高橋睦美,ITmedia]
