ほぼフリーアクセス、WEP利用企業が4割超という現実：セキュリティ強化塾（2/5 ページ）

[キーマンズネット]

無線LANセキュリティの「常識」、本当に大丈夫？

　無線LAN利用に関するセキュリティ上の問題は、およそ以下の7つだ。

企業の社屋内での無線LAN利用の懸念ポイント

1. 通信を外部から盗聴される可能性
2. 社外のアクセスポイントに社内端末が接続してしまう可能性
3. 内部の攻撃者が社内PCなどをアクセスポイント化して盗聴する可能性
4. 社内のアクセスポイントに外部の端末が接続する可能性（なりすまし）

社屋外から社内システムに接続する場合の懸念ポイント

1. 不正行為のために設置された、公衆無線LANを偽装するアクセスポイントに接続する可能性
2. 外出先からWi-Fiルーターやスマートフォンのテザリング機能を使って3G/LTE網に接続する場合の、PCとデータ中継端末までの通信が盗聴される可能性
3. 外出先の公衆無線LAN APと接続してインターネットにアクセスする場合に盗聴される可能性

　このような懸念に対して、「暗号化通信を設定する」「MACアドレスフィルタリングを設定する」「SSIDを非表示（ステルスSSID）に設定する」という3種の設定が推奨されることが多い。しかしこれらは企業利用のセキュリティ対策としてあまりに弱い。

WEPの弱点を克服するのはWPAやWPA2

　繰り返しとなるがWEPは時代遅れで危険だ。これで「暗号化通信設定をクリアした」とはいえない。暗号化方式は「WPA」か「WPA2」の利用が不可欠だ。現在では、ほぼ全ての無線LAN機器がWPAとWPA2に対応している。できるだけWPA2を使うことをお勧めしたい。

　WPAとWPA2という2つの規格が併用されている歴史的な経緯にも触れておこう。WEPの脆弱性が明らかになった後、業界団体Wi-Fi AllianceはWEPにユーザー認証や暗号鍵を一定時間で自動更新する「TKIP」（Temporal Key Integrity Protocol）暗号化プロトコルを加えた「WPA（Wi-Fi Protected Access）」規格を策定した。暗号鍵の取り扱いが複雑になるため解読されにくくはなったが、当時の通信機器の性能を勘案して暗号技術そのものはWEPと同様にRC4と呼ばれる技術を利用している。

　だからWPAも時間さえかければ解読される可能性がある。そこで2004年に、強力な暗号化方式であるAES（Advanced Encryption Standard）を利用する「WPA2」規格が作られた。こちらは「CCMP（Counter Mode with Cipher Block Chaining MAC Protocol）」と呼ばれる暗号化プロトコルを採用している。

　しかし、いまだにWEPが企業ネットワークで利用されているケースが少なくない。考えられるのは次の4つのケースだ。

1. WEPのみ対応の古いアクセスポイントが生き延びている（中には設置されていることが忘れ去られている場合もある）
2. WPA、WPA2が利用できる機器を導入しているが、古くからの運用にならってWEPだけを利用している（最新の機器でもWEPが利用可能なものが多い）
3. アクセスポイントの「マルチSSID」機能を利用して、WPA/WPA2での接続とWEPでの接続が両方できる設定で利用している（WEPで接続できる設定を削除せずに運用している）
4. 社内システムとは明確に切り離されたネットワークで、社外からのゲストがインターネットにアクセスできるサービスとして意図的にWEPで提供している

　4はリスクを織り込んだ上での無線LANの開放なので問題とはならないかもしれないが、それ以外は早急に対応が必要だ。WEPしか使えない無線LAN機器を探し出して廃棄し、WPA、WPA2に対応する機器にリプレースすること、そしてマルチSSIDのアクセスポイントのWEP接続設定を削除することをお勧めする。