ほぼフリーアクセス、WEP利用企業が4割超という現実:セキュリティ強化塾(3/5 ページ)
無線LANは普及したが、セキュリティ対策はどうだろうか。多くの企業で時代遅れな「常識」を信じていないか。
認証方式は「PSK」ではなく「Enterprise(IEEE 802.1X)」を利用
WPAおよびWPA2では暗号方式とは別に、認証方式として「PSK(Pre-Shared Key)」認証(Personalと呼ばれることもある)と「Enterprise(IEEE 802.1X)」認証の2つが用意されており、どちらかを選べる。
PSK認証は、端末とアクセスポイントにパスフレーズを事前定義する方式だ。ただし仕組みは単純ではなく、認証のたびに異なる鍵を互いに生成して鍵の一致を確認するようにして安全性を高めている。特別な設備はいらないので個人や小規模オフィスで利用しやすいが、同一アクセスポイントを利用する端末では同じパスフレーズを使うことになるのでその情報が漏れないとは言い切れない。
また、専門知識を持った攻撃者にパスワードクラッキングをしかけられればパスフレーズ窃取の可能性もある。実際に、初期設定のままのパスフレーズを運用していた企業が重要ファイルに不正アクセスされ破壊されたケースがある。そのようなケースも考えてパスフレーズ管理を含めた管理を徹底する必要があり、大規模な利用には問題点が多い。
IEEE 802.1X認証は「RADIUS認証」とも呼ばれる、社内の認証サーバを利用してユーザー認証を行う仕組みのことで、認証サーバで接続の可否を判断するため安全性が高い。IEEE802.1X認証は多くのユーザーがいる企業利用では必須と考えたほうがよいだろう。
IEEE802.1Xの認証プロトコルはEAP(Extensible Authentication Protocol)と呼ばれていくつかの方式がある。大別すればユーザー名とパスワードを暗号化する方式と、デジタル証明書を利用して安全性を高める方式だ。前者は「EAP-MD5」が代表例、後者の中にはサーバ側の証明書を使う「EAP-TTLS(Tunneled TLS)」、サーバ側と端末側で証明書を持って互いに正当性を証明しあう「EAP-TLS(Transport Layer Security)」などがある。
スマートフォンではSIMカードを自分の証明として利用する「EAP-SIM」も利用されている。ユーザー名やパスワードは外部に漏えいする可能性があるが、デジタル証明書やSIMを利用する方式なら、端末を不正使用された場合以外は安全だ。
なお、これらの他シスコシステムズ独自のLEEP、シスコとマイクロソフト、RSA Securityが共同開発したPEEPと呼ばれるEAPも使われている。これらはEAP-TLSやTTLSに比べて安全性はやや劣る。
これらセキュリティ規格の比較表を以下に掲げる。安全性が高いのはWPA2とEAP-TLSの組み合わせだ。ただしサーバ証明書に年間10 万円程度、クライアント証明書に年間1万円程度の費用がかかる。
Copyright © ITmedia, Inc. All Rights Reserved.