事務所ネットワークを更新しました(無線LAN編:その2

 こんにちは。前回に引き続き、事務所ネットワーク更新での無線LANに関係する内容についてもう少し書いてみます。
 前回は無線LANを導入するに当たって、どのような特性があり、気をつけるべき点は何かという観点から書きました。(前回のMIMOに関しては、最後に注記として記しておきます)
 
 今回は認証の観点から書いてみることにします。有線LANと違って、パソコンやスマホやタブレットと無線APの間を電波を使って通信します。(無線ですから当たり前ですね)
 電波を使うということは、「他の誰かに通信を傍受される可能性がある」ということでもあります。有線の場合は基本的にそのような心配はしなくても良いです。これも「LANケーブルからの微弱な電波漏洩」だとか、リピータハブやL2スイッチのミラーリングポートを介した盗聴等の可能性もゼロではありませんが、無線の場合よりは格段に低いと思われますので、ここでは無視します。

 さて、いよいよここからが本題です。「無線LANのセキュリティ」と言われると、一般的に何を連想しますか?多くの方々は「事前共有鍵」とか「PSK(Pre-Shared Key)」とか、一般的に「パスワード」と呼ばれる文字列のことを指します。
 この文字列のことをここでは「事前共有鍵」で統一します。では、この事前共有鍵は一体どのような役割を果たすのでしょうか?
 答は「無線APと端末との間で盗聴されないように、無線区間を暗号化するため」です。

 電波である以上、何もしないと誰でも受信出来てしまいます。通信を傍受されないようにするために通信経路を暗号化します。そのために必要となる文字列のことを事前共有鍵と呼びます。

 無線区間を全く暗号化しない状態(以下:平文と呼びます)で通信するのは論外ですが、昔の脆弱性が判明している暗号化方式を使うのもNGです。

 先日、無線LANタダ乗りに対する裁判で無罪判決が出ました。これは事前共有鍵が「通信の秘密」には該当しないことによります。そのため、「通信の傍受」に当たらないという点が判断基準となりました。
 しかし、他の不正行為により処罰されました。ここで問題になるのは「現状の法律ではタダ乗りに関しては処分出来ない」という点です。無線区間を全く暗号化しなかったり、WEPのようなセキュリティ的に甘い旧規格で接続していてタダ乗りされてもお咎めなしになってしまいます。

 では、「最新の規格で暗号化していればいいのか?」という話ですが、単純に「Yes」とも言えません。「場合による」としか言えません。
 たとえば、家庭内で無線LANを使う場合でしたら、特に問題はありません。ユーザーは2人~5人程度でしょうから、少人数で事前共有鍵を設定して使う分には家族内できちんと管理していれば良いことになります。

 これが飲食店で使われる場合はどうでしょうか?暗号化に用いられるWPA2という規格を使っていれば大丈夫か?というと、必ずしもそうではありません。
 よく見かけるケースですが、IDと事前共有鍵を店内に張り出してあったりします。確かに最新規格で暗号化されていますから、事前共有鍵を知らない人にとっては盗聴出来ないでしょうが、事前共有鍵を知っている人同士では可能になります。事前共有鍵を知らない人に対しては有効ではあるものの、店内の客同士にとっては覗き放題とも言えます。

 ここで問題になってくるのは、「共通のパスワード」という矛盾した形になるため、一旦漏れてしまうと、事前共有鍵を作成し直すだけでなく、利用者全員に通知しないといけません。
 面倒ですね。通知が上手く行ってないと、「つながらない!」という苦情を理不尽に受けることになりますので、厄介ではあります。

 これは飲食店向けの客サービスなのでまだマシなのですが(本当はそうでもないのですが、その点については次回以降に触れたいと思います)、これがオフィスだったらどうでしょうか?
 危ないですね。たとえば、社内で無線LANを使っていて、ある社員が退職したとします。その場合、事前共有鍵を変更しなければ、職場近くまで元社員がやってきて不正利用することを防げません。
 また、変更したとしても、上述のように手間が増えますし、端末設定を変更し忘れると接続出来ないというようなことが起こります。

 そのような面倒を避けて、セキュリティを向上させたいですよね。そこでユーザー毎にIDとパスワードを設定したいですよね。これを実現させたのがIEEE802.1X認証です。
 今回は長くなりましたので、次回IEEE802.1X認証を用いて事務所内の無線LANを個別認証可能にしたお話を詳しく説明したいと思います。

<つづく>

  • このエントリーをはてなブックマークに追加

コメントをどうぞ