無線LANのセキュリティについて

トップ > セキュリティ入門 > 無線LANのセキュリティ

無線LANのセキュリティについて

最近よく聞く話として、無線LANに関するセキュリティの問題があります。 無線なので、建物の中に侵入しなくても電波をキャッチすることができます。 危険なような気もしますが、実際はどうなのでしょうか?ここでは一般的な話題として、 無線LANのセキュリティについて考えてみたいと思います。

また、そもそもセキュリティとは何か、ということですが、 この言葉自体定義が非常に難しいです。漠然と安全性や信頼性のような意味で捉えられていますが 、、、これについてはまた別のページで議論したいと思ってます。

なお、ここでの無線LANとはIEEE802.11a,b,gというような規格を念頭においていますので、 ご了承願います。

無線LANはなぜ危険といわれるか?

では、なぜ無線LANは危険だといわれるのでしょうか?

現在、企業や官公庁では当然のようにLANが敷設され、インターネットに接続されています。 そのLANのインフラは当然にケーブルだったのですが、 最近、LAN工事を安価に済ませたいという要望や人員配置の関係で レイアウトが自由にいつでも変更できるという理由から無線でLANを構築するケースが増えてきました。

wireless.gif 我が家もADSLでインターネットをしていますが、 電話のモジュラージャックから自分の机までが遠いので、 迷わず無線LANを導入しました。 一昔前ならば無線用のアクセスポイントとカードで5~6万円はしていたのですが、 最近では1万円台で全てがそろってしまいます。 それほど、手軽で普及してきました(実際に有線でLANを構築すれば、 工事費に何万もかかりますし、部屋の見栄えもいまいちになりますよね?)。

このように、メリットも多い反面、危険性も指摘されてきましたが、 そもそも、無線LANはなぜ危険と言われるのでしょうか?

認識されるLANの存在とデータの漏洩

有線であれば、 実際に建物の中に入ってそのLANに接続しないとLANを流れているデータは取得できません (当たり前ですが。)。 それ以上に、そこにLANがあることさえ外部からは認識されないでしょう。

ところが、無線LANの場合は電波ですので、その電波が建物の外にまで飛び出します。 外部でそれなりの機器をつかってチェックすれば、 そこに無線のLANが構築されていることは簡単にわかってしまいます。

それ以上に恐いのは、そのLANに流れているデータを入手できるということです。 無線であろうが有線であろうが、LANの中を流れているデータというのは、その仕組上、 ある程度自由に取得できるのです (それなりの技術は必要なので、自由というのが語弊がありますが。)。

会社などで、LANで勝手にチャットをしていたり、私用のメールをしていたり、 もっと悪いことであればWinnyといったソフトを使ったりしていることは、 ネットワーク上で監視を行えば、簡単にばれてしまうのです。

intrude.gif ただし、これもLANにアクセスできれば、という前提付なので、 以前は社内からのみアクセス可能ということになっていました。 ところが、無線でLANを構築してしまうと、この電波が外部にも出て行くことになり、 自分の会社とは関係のない人たちまでもがキャッチできるという状態が発生します。

WindowsXPを使っていて無線のLANカードを利用可能な状態にしているパソコンであれば、 街角でパソコンを広げたときに、勝手にどこかのLANに接続していた・・・ なんて経験のある方もいると思います。それくらい簡単にLANに入れてしまうのです。

さらに、そこからLANに飛び交ってるデータを取得するようなソフトを使って、 データを盗み見れば、企業秘密も秘密ではなくなってしまいます。 恐いですよね?これらが無線LANが恐いといわれる理由なのです。

無線LANで可能なセキュリティ対策と必要性

ここまで書くと、逆に無線LANは全くいいところがないじゃないか・・・ と思われるかもしれませんが、無線LANにも、そうされないような対策がいくつかあります。 その代表的なものをまとめてみました。

ESSIDをわかりにくい名前に設定する

IEEE802.11の規格の無線LANの場合、ESSID (Extended Service Set Identifier) という同じ無線LANを識別するための名前を決めます。 この名前をわかりにくいものに設定するというのが上げられます。 例えば、海山商事経理課という部署で無線LANを構築した場合には 「Umiyama_Keiri」なんていう名前を絶対に付けないことです。

そこに無線LANがあり、そのLANのESSIDがどのようなものかということは、 それなりの装置を使うとばれてしまいますので、そこに無線LANがあったとしても、 それがどんな内容かということを容易に想像させないことがセキュリティの向上につながります。

また、市販品の無線LAN製品ではルーターのMACアドレスがESSIDになっていることも多いですが、 これも別の名前にした方がいいかもしれません。

Any接続の拒否

IEEEの規格の無線LANの場合、ESSIDを知らなくても、ESSIDにAnyとすることで、 最寄のアクセスポイントを探し出して接続してしまえる仕様(欠陥?)がありました。 最近では、IEEE802.11bでもそれを拒否できる機能が備わっているものが増えてきましたので、 これは絶対にしておくことをお奨めします。

WEP(暗号化)の設定

ここ5年くらい(2004年時点です) の無線LANにはWEP (Wired Equivalent Privacy) と呼ばれる暗号化の技術が備わっています。 これは有線と同等のプライバシーを確保するという意味の規格で、 これを設定したパソコンしかLANに接続できないというものです。 事実上これを設定していないと、 無線LANの場合にはセキュリティは無いに等しいことになります。

このWEPも暗号化の強度によって様々なものがありますが、 128ビットのものが主流なようです。現在の技術では128ビットの暗号化を行っておれば、 まず、めったなことはないと思います。

外部からLANを流れているデータをキャッチされても、暗号によって保護されているため、 内容を読まれることもありません。また、不正アクセス禁止法の観点からも、 この暗号化処理をしていないLANというのは保護に該当しないのでは・・・と思われます。 無線LANを構築する上では必須のセキュリティ対策です。

また、暗号化といっても、いつかは破られます。どんな優秀な暗号化技術でも、 それが破られるまでの時間が長いか短いかだけの違いです。セキュリティを高めるためには、 この暗号化のキーを一定の期間で変更することも重要になります。

MACアドレスの登録

WEPに似ていますが、MACアドレスの登録というのがあります。 無線LANに繋がるパソコン(ネットワークカード)を固定してしまうという方法です そもそも、ネットワークカードにはMACと呼ばれるユニーク(一意) な識別番号が割り当てられています。そんなの知らない、と思っても、 製造される段階で全て割り振られています。 (MACアドレスについては詳細はこちらを参照ください。)。

この番号をあらかじめ登録しておくことで、 その登録されたパソコンでしかLANの接続を認めないとする技術です。 LANに接続されるパソコンを限定するという意味では有効な手段ですが、 無線LANの中を飛び交っているデータを暗号化して隠蔽しているわけではないので、 暗号化よりもセキュリティ強度は低いです。

また、このMACアドレスは世界でユニーク(一意)だということを書きましたが、 これを偽装する技術も実際にはあります(そんなに簡単ではないですが。)。 ですから、これだけを設定してLANのセキュリティを上げたつもりになっていると大変です。

とは言うものの、非常に有効な手段なので、ぜひするべきだと思います。 MACの登録は、柔軟であることを利点としている無線LANの使い勝手を下げるので、 設定することを嫌がる管理者やユーザーも多いです。が、設定が面倒ということは、 それだけ侵入もされにくいということですので・・・

DHCPを使わない

これも、無線に限らずLANでは当たり前の技術となっています。 DHCPを知らない方のために、簡単に解説すると、、、

ネットワークにパソコンが接続できるようになるためには、 IPアドレスというそのネットワーク内で固有の番号を取得する必要があります (MACアドレスとはまた別です)。

このIPアドレスは、そのネットワークの中では一意である必要があるため、 以前は管理者の方が一つ一つ振り出していたのですが、 この番号をパソコンをネットワークにつないだだけで自動的に割り当ててしまうという画期的な技術です (画期的というほど最近の技術でもないですが・・・ DHCPについてはこちらを参照ください。)。

便利ということは、逆に侵入しやすいということで、これを利用しないというのも、 無線LANを利用する上では有効なセキュリティ対策になります。

また、どうしてもDHCPを使わなくてはいけない環境の場合にも、 DHCPで接続できるパソコンの台数を制限できる場合がほとんどだと思うので、 職場に10台しかパソコンがないのであれば、DHCPで自動的に発行するIPアドレスも10個まで、 というような設定をするべきだと思います。

アクセスポイントの設定を無線で受け付けない

最後に、無線LANの設定を行うアクセスポイントの設定画面を 無線LANからアクセスできなくするというのも必須だと思います。 ここに簡単に外部からアクセスできてしまうと、ここのパスワードが破られたときに、 いままで解説してきた設定は無意味なものになってしまいます。

確かに、管理画面にはアクセスできないようにするためのパスワード設定はできますが、 それ以前に、パスワードを入力させる画面さえ見せないようにするというのも、 簡単にできて効果的なセキュリティ対策だと思います。もちろん、 この設定画面には複雑なパスワードを設定して厳重に管理することは言うまでもありませんが・・・

結局、どこまで設定すればいいの? - 無線は悪か?

stop_intrude.gif いろいろとセキュリティ情報について書いてきましたが、 どこまで設定する必要があるかというのは、その無線LANの管理者のポリシーによります。

途中でも書きましたが、セキュリティを高く設定すると利便性を低くします。 結局は、そのLANでどのような情報を扱っていて、 どの程度重要性があるのか、、、 とうことを比較考慮しながらセキュリティのレベルを決めていく必要があります。 これは無線LANに限ったことではありません。

業務データを全く流していないのに、先ほどの設定を全てする必要があるか、 と聞かれれば、首を横に振らざるを得ません。ただし、重要な業務データが何か? ということはしっかり認識する必要はあるのでしょうが、、、(こちらの方が重要です。)

よく、「無線LANは悪だ」と決め付けてセキュリティを語る方々がいますが、 私はこれには賛成しかねます。先ほども書きましたが、 セキュリティというのは守るべき資産があってこそのものです。 よって、その守るべき資産に応じたレベルをよく考えないと、利便性を低下させ、 何のためにセキュリティを設定しているのかさえわからなくなるような事態に陥ります。

先ほども書きましたが、どんなに強固なセキュリティ対策を施しても、 それは、破られるまでの時間が長いか短いかだけの違いです。 ほとんど守るべき必要のないLANに最高のセキュリティ対策を施したところで、 それを破るだけの費用(時間も含めて)をかけてハッカーが侵入してくるかといえば、 疑わしいですよね?

enjoy_pc.gif 結局、このあたりのセキュリティ設定も管理者の責任で、、、ということですよね。 このあたりをよく理解して、自分のLANの環境に応じたセキュリティを施すのが、 無線LANと上手にお付き合いできる方法だと思いますが・・・どうでしょうか? (反論がありそうですが)

個人的には無線LANでインターネット接続を提供している喫茶店などはよく行くので、 無線LANの便利さはやはり手放せないと思いますが・・・


トップ > セキュリティ入門 > 無線LANのセキュリティ

日時: 2008年01月06日 17:25
newsingに投稿BuzzurlにブックマークBuzzurlにブックマークlivedoorクリップに投稿 Choixにブックマーク イザ!ブックマーク このエントリーを含むはてなブックマーク
トップに戻る
このエントリーの所属カテゴリ: セキュリティ入門
このエントリーのタイトル:無線LANのセキュリティについて



copyright © 2000-2008 all rights reserved
あいまいモード・コム - rss2.0 atom
newsingに投稿BuzzurlにブックマークBuzzurlにブックマークlivedoorクリップに投稿 Choixにブックマーク イザ!ブックマーク このエントリーを含むはてなブックマーク