無線LAN暗号のセキュリティレベルと生産性をめぐる取り組み、米国防省のケース

国家機密を扱う政府機関でも無線LANを活用して職員の生産性向上を目指す取り組みが進む。その際のセキュリティをどう確保するかについて、米国防省での事例をAruba Networksの担当者が紹介した。

[國谷武史，ITmedia]

Aruba Networksのジョン・グリーン氏

　モビリティで生産性向上を図るという企業が増える中、国家機密を扱う政府機関でもこうした取り組みに関心が高まっているという。その際の課題が高いセキュリティレベルの維持。無線LAN機器ベンダーのAruba Networksで政府機関向けソリューションを担当するプロダクト ディヴェロップメント担当ディレクターのジョン・グリーン氏が、ここ数年における米国防省での取り組みを紹介した。

　グリーン氏は、「モビリティの活用は企業では一般化し始めたが、政府機関は国家機密を取り扱うので遅れていた。特に無線LANのデータセキュリティを懸念する声が強く、ワイヤレス機器の使用を一切認めないポリシーだった」と話す。

　Arubaが国防省とのビジネスを始めたのは2005年ごろのこと。同氏によれば米国の政府機関のIT担当者は、無線LAN通信が容易に盗聴されてしまうものであり、有線LANよりセキュリティレベルの劣ると考える向きがあったという。その一方、企業では無線LAN活用が始まり、国防省でも職員の業務効率の改善と生産性の向上を図るために無線LAN導入を検討するようになった。

空軍基地でのワイヤレスメッシュ構築例（Aruba Networks資料より）

　現在では世界中の軍施設に無線LANが張り巡らされる状況になったが、その間にはIT担当者の意識改革から新技術への対応まで、乗り越えるべき課題が幾つもあった。最重要テーマが通信データの暗号化だったという。

　国防省はネットワークの暗号化に「Suite A/TYPE-1」という非公開のアルゴリズムを採用している。これに接続可能な機器も特別仕様で高額なものだった。無線LANの整備では市販機器の活用によるコストダウンも目的となった。だが市販品はセキュリティに不安があるというのがIT担当者の意識だった。

　そこで国防省傘下の米国家安全保障局（NSA）が、新たに公開鍵方式の「Suite B」を開発し、2005年2月にリリースした。国防省は、Suite A/TYPE-1と無線LANにSuite Bを採用する2層式の暗号化環境を構築することとした。Suite Bは、AES 256ビットのアルゴリズムを含むスイートで、鍵サイズがコンパクトなのが特徴。特にモバイル機器では処理負荷が小さく、性能やバッテリ消費への影響が少ない一方で、高いセキュリティレベルを維持できるメリットがあるという。

政府要件を満たす技術を市販機器に採用することでセキュリティレベルの維持とコストダウンを図っている（同）

　「例えば、iPhone 3GでもAES 256ビットに対応している。だがロック解除のパスコードが4けたの数字なので、実質的な暗号強度は18ビット相当しかない。暗号化はシステム全体で考えるべきで、脆弱な部分があれば、そこがベースになってしまう」（グリーン氏）

　Arubaを含む複数のベンダーがSuite Bを市販製品に組み込んだことで、国防省の無線LAN整備に弾みが付く。国防省ではまず、航空機の格納庫周辺に無線LANを構築し、整備士がメンテナンスマニュアルのデータをワイヤレス経由でモバイルデバイスのアプリから参照できるようにした。これによって、整備士は紙文書の重たいメンテナンスマニュアルを持ち歩かずに済むようになったという。

　現在、Suite Bはベンダー間の相互接続性の確保が進んでおり、IEEE/WFAでは標準化に向けた対応が始まっているという。英国政府やカナダ政府の一部機関でも採用が始まったとのことだ。米国ではVoIPでの適用に向けたパイロットプログラムも開始され、将来はWebブラウザ経由のデータ通信への適用も視野に入れる。ただ、米国の政府機関全体での利用やその他の国での採用、地方自治体への広がりは未知数な部分もあるという。

Suite Bは無線LANだけでなく携帯電話ネットワークでの運用も想定。ただし3Gでは難しいところがあるといい、LTEなど最新ネットワークが普及して以降の利用が見込まれるという（同）

　日本では内閣官房情報セキュリティセンターが、2012年度の「政府機関の情報セキュリティ対策のための統一技術基準」に無線LANやモバイル機器の運用規定を盛り込むなど、将来のモビリティ活用の普及を見据えた対応が始まっている。