PART2 内部からの「不正アクセス」を防ぐ：「性悪説」による機密・個人情報漏えい対策 第2部（6/6 ページ）

[園田法子、橘田明雄、卯城大士（チェック・ポイント・ソフトウェア・テクノロジーズ），N+I NETWORK Guide]

　もう1つ重要なのは、ESSIDが「ANY」になっている無線LANクライアントからの通信をAPで受けつけないように設定することだ。無線LANのAPはデフォルトでは、ESSIDがANYになっているクライアントからの通信に応答してしまう。これではAPのESSIDを知らないユーザーも、簡単にAPに接続することができる。AP側で、ESSIDがANYのクライアントからの接続を認めなければ、ESSIDを知らないユーザーは接続することができない。

　上記2つの設定は、APで最低限行わなければならない設定ではある。しかし、これだけでは無線LANを安全に使うことはできない。次に考えなければならないのは、無線LANの電波を傍受することによる通信データの盗聴を防ぐ方法だ。

　現在、利用されている通信データの盗聴を防ぐ方法に「WEP（Wired Equivalent Privacy）」という技術がある。このWEPは、通信内容を暗号化することで通信データを傍受されてもデータを読めないようにするものだが、セキュリティ上の弱点が指摘されている。

　このWEPの問題点を改善した無線LANセキュリティの技術に「WPA（Wi-Fi Protected Access）」がある。WEPの場合は、そのAPに接続するすべてのクライアントで同じ暗号鍵を使っていたのに対し、WPAでは「TKIP（Temporary Key Integrity Protocol）」という鍵管理プロトコルをサポートすることで、ユーザーとパケットごとに異なる暗号鍵の使用可能となる。またWPAでは、IEEE802.1xによる認証をサポートし、これによりAPに接続してくるユーザーに強固な認証を提供することができるのだ。

　無線LANでのセキュリティは今、進化過程にあるといえる。現在、WPAで利用されている暗号化アルゴリズムはRC4だが、WPA2（IEEE802.11i）では、米国商務省標準技術局（NIST）によって選定された「AES（Advanced Encryption Standard）」という、より強力な標準暗号化アルゴリズムをサポートする予定だ。WPA2がリリースされれば、強力な認証、鍵管理、暗号化アルゴリズムと3拍子そろっての利用が可能になり、無線LAN環境におけるセキュリティは飛躍的に向上するだろう。無線LANのセキュリティにおける脆弱性は既知の事実なので、強度なセキュリティ利用が可能になった段階で導入を検討したい。

　また、これら無線LAN通信上のセキュリティを整備するとともに、社内に不正なAPが設置されないように注意することも重要である。どんなに管理者が内部セキュリティを強固にしようとしても、管理者が知らないところでセキュリティ設定のされていないAPを社員が勝手にネットワークに接続していたのでは、まったく意味がない。

　企業では、正当な権利を持った管理者以外はネットワーク機器の導入や変更ができないよう、社内ネットワーク構築ポリシーを社員に明確に伝えておくことが重要だ。また、不正なAPを検知できる製品もあるので、無線LANを利用する際は、これらを用いて社内ネットワークにセキュリティ的な穴がないかを調べる必要もあるだろう。

　内部ネットワークを安全に運用するには、常に変化するネットワーク技術に対し管理者ができるかぎりの対策を実施するだけでなく、ユーザーが社内ネットワーク運用について正しく理解することが必要だ。また、ユーザーが正しいネットワーク運用を理解するためには、運用規定の継続的なアナウンスと教育が大切だ。

ネットワーク内のあらゆるポイントに対策を施す

　これまで説明してきたように、性悪説の視点に立ったうえで企業内部を強固に保護するためには、単一のソリューションではなく、あらゆるレベルでセキュリティを施すことが必要である。物理的な場所へのアクセスから個人のコンピュータ管理、ネットワークセキュリティにいたるまで、何層にもセキュリティを施すことで初めて、堅ろうな内部セキュリティを実現することができる。

　また、システムレベルでのセキュリティについても、インターネットと内部ネットワークの境にシングルポイントで対策を講じる境界セキュリティとは異なり、内部セキュリティでは、ネットワーク内のあらゆるポイントに対策を施す必要がある。ネットワークを細かくセグメント化したうえで、各セグメント間のアクセス制御や、ワーム、攻撃の防御を行うのである。また、IPアドレスとポート番号でネットワークレベルのアクセス制御を行うだけでなく、アプリケーションレベルでも制御し、危険を伴う不必要な通信の遮断により、強固に内部ネットワークを保護することが重要である。

　内部セキュリティを堅ろうに保護するためには、管理者はまず、現状どういったことが問題になりうるのかを再度見直すことから始めてほしい。そして、問題になりうるポイントがあれば、さまざまなソリューションを検討する。その際には、セキュリティの強度に注目するだけでなく、ユーザーや管理者の作業労力などの運用面も考慮に入れたうえで、実際に導入するソリューションを選択し、内部からの脅威を最小限に抑えるための包括的な対策の導入を検討してほしい。