無線LAN運用の負荷軽減を軽減する「クラウドWi-Fi」徹底解説（4/5 ページ）

[酒井洋和，てんとまる社]

　これまでクラウドWi-Fiについて見てきたが、ここでは無線LANにおけるトレンドについて見ていきたい。とかく無線LANは最新規格が話題になりやすく、現状は最大スループットが約9.6Gbpsにもなる「IEEE 802.11ax」の話題が中心だが、現状はまだ規格が確定していない状況だ。そこで今回は、それ以外の話題について掘り下げてみたい。

大きな話題となっている「WPA2」の脆弱（ぜいじゃく）性

　無線LANに関する話題として大きなものが、米CERTコーディネーションセンターなどが2017年10月16日に発表したWPA2に関する脆弱性「KRACKs（Key Reinstallation AttaCKs）」だろう。

　Wi-Fiで一般的に利用されている暗号方式「WPA2」を攻撃対象とした脆弱性で、クライアントとAP間で4回のやりとりが行われる「4-way handshake」の一部に脆弱性が存在しているというものだ。この脆弱性を利用すると、攻撃者はWi-Fi通信の一部に割り込むことができるようになってしまう。

図10　WPA2における脆弱性（出典：日本ヒューレット・パッカード）

• 802.1X 認証完了後、またはPSK SSID の場合はアソシエーション直後に実施
• 認証後にコントローラー・端末で共有される PMK（Pairwise Master Key）から、実際の通信で使用する暗号キーを生成する
• PSK SSID の場合はパスフレーズのハッシュ値から PMK を作成

　ただし、基本的には無線の届くエリアに攻撃者がいる必要があるだけでなく、SSLやVPNで暗号化されている場合は盗聴されることがない。一部のベンダーからは既にパッチが提供されており、無線コントローラーやクライアント側に適用することで脆弱性対策が可能になる。

　初速のインパクトは大きかったものの、実際にはWPA2自体の安全性が崩壊したわけではないことはしっかり理解しておこう。IPAからも注意喚起とその対策についてリリースが出ているため、確認しておきたい。

「アクセスコントロール」がセキュリティにおける関心事

　無線LAN検討時には、セキュリティは切り離せないポイントの1つになっているが、中でも重要視されているのがアクセスコントロールだ。最近では働き方改革の名のもとに、さまざまな環境から社内のインフラにアクセスする機会が増え、その状況を的確に把握し、アクセスの可否をセキュリティ的な観点から判断することが求められる。

　しかも、アクセスする場所や時間など通常ではありえない挙動があれば、たとえ端末そのものが安全であっても、自動的に通信を遮断するといった制御も必要になる。これは、端末の振る舞いによってリスク度合いを判断し、実際にネットワークを遮断するといった物理的な制限を行う振る舞い検知の技術だ。快適にアクセスできるだけでなく、アクセスコントロールが柔軟に行えるかどうかも、大きなトレンドの1つとして注目する。

大きな脅威となる暗号化されたマルウェア

　実際に2016年から課題として挙がっているのが、暗号化されたマルウェアへの対策だ。暗号化自体は攻撃者から企業を守るだけでなく、セキュリティツールを回避するための手段としても用いられており、マルウェア自体の検出が困難な状況も生まれている。

　ベンダーの中には、フローデータを用いて暗号化のためのトラフィック分析を行うソリューションを実装する動きをはじめ、SSLトラフィックを復号することでその中身を解析してマルウェアかどうかを判断するようなソリューションを提供するところもある。無線LANに限った世界ではないが、ネットワーク全体で暗号化されたマルウェア対策を検討していく必要があるだろう。