| エンタープライズ:ニュース | 2003/04/29 23:14:00 更新 |
解決策はWPAや802.11i、しかし基本を忘れずに――Strategic Interop
4月28日に行われた教育プログラム「Strategic Interop」では、無線LAN向けセキュリティ技術について解説するセッションが行われた。
米ラスベガスで4月27日より開催されている「NetWorld+Interop 2003 LasVegas」。来場者が何よりも注目しているのが、無線LAN向けセキュリティ技術の動向と実装である。
4月28日に行われた教育プログラム「Strategic Interop」でも、これに関連する話題が取り上げられた。「Key Emerging Technology:Wireless LANs」と題したセッションでは、説明の半分近くが既存の無線LAN技術におけるセキュリティ上の問題点とその解決策に費やされた。講師は、米ファーポイント・グループの創設者兼社長のクレイグ・マチアス氏だ。
同氏は、無線LAN技術は非常に有用だが、いくつかのウィークポイントもあると指摘する。その1つが通信エリアの制限で、これはローミング技術によって解決が図られようとしている。また、VoIPに代表される、遅延に敏感なタイプのアプリケーションを動かすには不安定な部分が多く、これも、QoS(品質保証)機能などを拡張した802.11e仕様による解決が待たれるところだ。さらに、電源を含む管理面での向上も必要という。
カタログ値と実測値の間で、スループットに大きな差があることにも注意が必要だ。無線のパフォーマンスは何よりも環境によって左右されるため、その時々によって変動する。「無線LANは有線のイーサネットとは違う。実際のパフォーマンスは、ベンダーが言うスループットの50〜66%程度に考えておくほうがいい」(マチアス氏)。
基本を忘れずに
しかし何よりも問題となっているのは、お察しのとおりセキュリティだ。「セキュリティが、今一番大きな問題だ。無線LANは多くの脅威に取り囲まれている」と同氏は述べている。
既にたびたび報じられていることだが、802.11仕様で用いられているWEPには多くの問題点が存在する。代表的なものだけでも、標準では40bit/RC4というそれほど強力ではない暗号方式しかサポートしていないこと(長い鍵長のものは独自実装)、WEPキー(暗号鍵)が基本的に固定であり、しかも同じ鍵が共用されること、あくまで機器の認証に過ぎず、ユーザーの認証が組み込まれていないこと、既にハッキング用ツールが公開されていることなどが挙げられる。アクセスコントロールリスト(ACL)を組み合わせれば、相当の部分が解決できると同氏は言うが、それでも、成りすましやMan-in-the-Middle攻撃の可能性は残る。
こうした問題を解決する技術として、マチアス氏は802.11iとそのサブセットであるWPA(WiFi Protected Access)を挙げた。
WPAは、802.1xベースのユーザー認証機能(EAP:Extensible Authentication Protocol)と、WEPキーを動的に更新するTKIP(Temporary Key Integrity Ptorocol)の実装により、「非常に強力なセキュリティを実現できる」と同氏は言う。そして、WPAでは未サポートであるAESに対応し、KerberosやRADIUSといった認証システムのサポートが強化される802.11iは「非常にすばらしいものになる」と述べた。
「ただしそれでも、ESS-IDやパスワード(PINコード)を定期的に変更することを忘れずに。これは基本中の基本だ。デフォルトのものをそのまま使うのは論外だ」(マチアス氏)。
同氏はさらに、無線LANは、無線部分だけでなくバックエンドのネットワークも視野に入れて考慮しなければならないと指摘している。「これまで問題になっていたのは、無線部分の相互接続性であり、無線部分のセキュリティだった。しかしこれからは、バックボーンも含めた相互接続性を検討しなくてはならないし、エンドツーエンドのセキュリティが求められることになる」(マチアス氏)。
マチアス氏は、その一環として、アクセス「ポイント」ではなくアクセス「ポート」レベルの管理が大事になるとした。つまり、家庭での利用ならばともかく、中規模以上の企業で無線LANを利用するならば、無線LANアクセスポイントのセキュリティ・認証管理機能や電源管理機能を備えたスイッチを組み合わせるべきだという。これはまた、高度な障害回復やQoS機能といった利点ももたらすだろうと同氏は述べている。
関連記事
エクストリーム、無線と有線を統合するレイヤ2/3ワイヤレスアクセススイッチを発表Windows XP、WPAに対応――無線LANのセキュリティ強化で一歩前進WEPに代わる無線LANセキュリティ新標準「WPA」関連リンク
Networld+Interop LasVegas 2003[高橋睦美,ITmedia]
