HOME >> 情報セキュリティ >> 脆弱性関連情報 >> 記事

企業無線LANセキュリティの注意

最終更新日: 2003年 7月29日

※追記すべき情報がある場合には、その都度このページを更新する予定です。

概要

無線LANには「配線工事が不要である」「容易に導入できる」などの利便性があり、通信速度や相互接続性の向上、低価格化などが進んでいることもあって、企業での利用が急増しています。
しかし、無線LANには次のような危険性も存在します。

  • 通信内容の盗聴
  • 無線LANの不正利用

無線LANの電波の届く範囲内に居れば、部外者であってもデータを受け取れます。無線LANの有効範囲は捉え難く、電波は建物や敷地といった物理的な境界を超えて届きます。そのため、無線LANはネットワークへの侵入を試みる攻撃者に狙われやすいものとなっています。
特に機密情報を扱うことの多い企業においては、危険性を留意し、無線LANセキュリティの対処を徹底しましょう。

対象とする製品

市販されている無線LAN製品(IEEE802.11a、802.11b、802.11g準拠製品)

セキュリティに関する対処方法

無線LANアクセスポイントの設定を、工場出荷状態から必ず変更しましょう。

設定項目 設定内容 備考
SSID*1 工場出荷状態のSSIDから変更する SSIDは機種、使用者/部署/企業名等を推測しにくい値に変更しましょう
WEP*2キー 104bit(128bit)のWEP暗号を有効にする WEPキーは推測しにくい値に定期的に変更しましょう。SSIDから推測できる値は避けましょう
MACアドレス*3認証 MACアドレス認証により端末を制限する  
拡張ユーザー認証*4
(オプション)
拡張ユーザー認証を導入・強化する  
  • *1:SSID(Service Set ID):アクセスポイントを識別するためのID
  • *2:WEP(Wired Equivalent Privacy):暗号通信機能
  • *3:MACアドレス(Media Access Control):ネットワーク機器固有のアドレス
  • *4:拡張ユーザー認証の方式としては、EAP(Extensible Authentication Protocol)、EAP-MD5、LEAP(Light EAP)等があります。

無線LANのセキュリティについては次のような問題点が報告されています。

  • WEPの暗号化は簡単に解読されてしまう
  • MACアドレス偽造等により、なりすましが容易に行える

しかしながら、WEPキーやMACアドレス認証の設定は、盗聴や不正利用を難しくします。攻撃をできるだけ避けるための最低限の対策として徹底しましょう。

アクセスポイントの最適な配置を行いましょう。

無線LANが盗聴される危険性を意識したネットワーク構築は、有効な対策となります。

設定のポイント 内容
ネットワークセグメントの分割 アクセスポイント経由のアクセスをファイアウォール等で制限する
VPN技術*1の適用(オプション) 1アクセスポイント経由のアクセスにVPN技術を適用し機密性を確保する
  • *1: VPN(Virtual Private Network):IPsec、SSL/TLS、SSH等により通信の暗号化を行います。

画像は無線LANアクセスポイントの設置例を表し、ファイアウォールを介する無線LANアクセスポイントはアクセス制御の上、各セグメントを分け、VPNゲートウェイを介する無線LANアクセスポイントはVPN技術を使った上、各セグメントを分けることを表している。また、社内セグメントに設置しないことを薦めている。
無線LANアクセスポイントの設置例

無線LANアクセスポイントとクライアントPCの設定例

SSID、WEPキー、MACアドレス認証の設定を必ず実施しましょう。

アクセスポイントの設定

  • SSIDの設定 (例)「A333DE589PRE212」
  • WEPキーの設定 (例)
    図は暗号方式の設定を表し、暗号方式は暗号化キーとして有効(40=有効(40/(64)bit)、有効(128bit)のどちらかを選択することを示し、キーワードの設定は半角英数字31文字(大小の文字区別化)以内で入力することが示されている。
  • MACアドレス認証の設定 (例)
    図はフィルタリングの使用する=使用するが選ばれていることを示し、これを選択すると下記で登録した通信カードのみブロードバンドルータと通信できるようになる。また、MACアドレスの設定は、入力可能文字が半角数字とA〜Fとa〜fであり、2文字ずつ:で区切り、01:23:45:ab:cd:efのように入力することを則している。
    ※クライアントPCのMACアドレスは、PCの裏面ないし無線LANカードに記載されています。

クライアントPCの設定

  • クライアントPC、SSID、WEPキーの設定 (例)
    画像はワイヤレスネットワークのプロパティウィンドウを表し、ネットワークアソシエーションは開いていますが選ばれ、データの暗号化はWEPが選ばれ、キーのインデックスは1が選ばれている。
    ※Windows XPの設定

※ 個々の製品により詳細な設定項目は若干異なるので、製品に添付されているマニュアル又はベンダーのホームページなどをご確認ください。

ベンダー情報

更新履歴

2003年 7月29日 ベンダー情報について更新
2003年 7月16日 概要及びセキュリティに関する対処方法について更新
2003年 7月10日 セキュリティに関する対処方法を追加
2003年 6月12日 掲載