無線LANを利用する場合において適切なセキュリティ設定を行わないまま使用することは、通信の盗聴や不正な利用による重大なリスクを招くことになる。
  ここでは無線LANに対して施すべきセキュリティ対策を示す。なお、警察庁「不正アクセス行為対策等の実態調査」の報告によると、何らかのセキュリティ対策を講じている企業が増えつつあることがわかる(図表7)。

ここでは、無線LAN環境を運用する上での脅威に対する技術的なセキュリティ対策を説明する（図表8）。ここに登場するセキュリティ対策は、リスクに応じて導入することが望ましい。

WEP（Wired Equivalent Privacy）とは無線通信における暗号化技術である。無線通信は交信が可能な範囲内であれば屋外からでも容易にアクセスできるため、送信されるパケットを暗号化して内容を知られないようにする必要がある。ユーザーが設定する秘密鍵と、製品内部で決めるIV（Initialization Vector、初期化ベクタ）とをあわせた数字を基に、RC4と呼ばれる暗号化アルゴリズム用いて擬似的な乱数列を作り、データをフレームごとに暗号化する（図表9）。
   WEPを使用するには、ユーザーが設定した秘密鍵を、無線LANクライアントと無線LANアクセスポイントの双方に設定する必要がある。秘密鍵の長さは64bitと128bitを設定することができるが、128bitの方が設定できる文字列が長くなることから、64bitに比べ秘匿性が向上する。しかし、同じ秘密鍵と同じIV（初期化ベクタ）を使った複数のパケットを集めると容易に暗号が解読されてしまうぜい弱性が見つかり、現在では必ずしもWEPを使用してさえいれば128bit鍵長であっても安全だとは言えなくなっているため、運用の際には定期的に秘密鍵の変更を行う必要がある。

MACアドレスフィルタリングとは、無線LANクライアントのネットワークインタフェースが持つMACアドレスによってアクセスを制御する認証方式である。無線LANアクセスポイント側で登録されたMACアドレスを持つ機器が、無線LANアクセスポイントへ通信を行った場合のみ接続することができる。仮に、登録されていないMACアドレスを持つ無線LANクライアントからアクセスがあった場合は、アクセス拒否を行う。

ESSIDのANY接続拒否とは、無線LANアクセスポイントの設定においてESSIDが「ANY」や空欄の設定になっている無線LANクライアントを拒否する対策のことをいう。この対策により、不特定多数の無線LAN端末からの接続を防ぐことが可能となる。

ESSIDのステルス化とは、無線LANアクセスポイントから定期的に送信しているBeacon信号を停止する対策をいう。正規のユーザーはESSIDを無線LANアクセスポイントからの配信以外の手段で入手し、無線LANクライアントに設定する必要がある。

IEEE802.1x認証とは、ユーザーを認証してから、ネットワークへの接続を許可するための認証技術であり、有線LANと無線LANのどちらでも使用することができる。
図表10にIEEE802.1x認証の概要を示す。必要な機器としては、IEEE802.1xに対応した無線LANアクセスポイントと、これとは別に認証を行うための認証サーバーが必要となる。認証サーバーにはRADIUS ²サーバーが利用されることが多い。無線LANクライアント側には「サプリカント」と呼ばれる専用のソフトウェアが必要となるが、Windows 2000 SP4以降もしくはWindows XPやWindows Vistaであれば、標準でインストールされている。IEEE802.1x認証では、EAP（Extensible Authentication Protocol）が用いられる。EAPとはダイヤルアップ接続等に利用されている認証プロトコルであるPPP（Point to Point Protocol）を拡張したもので、MD5や証明書を用いたTLSなどの認証方式をサポートしている。

以下、EAPとして広く使われているEAP-TLS、PEAP、EAP-TTLSについて説明する。

EAP-TLSでは認証サーバー（RADIUSサーバー）と無線LANクライアントの両方に、CAサーバーが発行したサーバー証明書とクライアント証明書が必要になる。ユーザー名とパスワードを用いる認証方式と比較して、ユーザーだけでなく利用端末まで特定できるのが特徴である。
証明書には、ユーザー名、有効期限などの属性情報と、CAサーバーの電子署名が含まれる。この証明書をRADIUSサーバーと無線LANクライアントとの間で交換し、電子署名が正しいものであると検証された後に、相互を信頼する公開鍵認証方式を用いているため、セキュリティレベルが高いという特徴がある。

PEAPとは、認証サーバー側で証明書を発行し、またクライアント側ではIDとパスワードを用いることによって、サーバーとクライアントで相互認証を行う認証方式である。暗号化技術にはWEPが用いられており、定期的にWEP暗号文の生成・配布が行われることによってWEP暗号のセキュリティの向上が図られている。
EAP-TLSと比較するとセキュリティレベルは若干落ちるが、クライアント側で証明書管理の必要がないため、管理が容易になる。

EAP-TTLSとは、暗号化によって保護されたIDとパスワードを用いた認証方式である。EAP-TLSが、クライアントとサーバーの間で相互に証明書を交換することで相互認証を行う認証方式であるのに対し、EAP-TTLSでは、クライアント側は証明書を発行せず、その代わりにユーザー名とパスワードを用いて認証を行う。その際、鍵暗号を用いて通信を暗号化することによって盗聴による情報漏洩の危険性を抑えている。EAP-TTLSは、EAP-TLSに劣らないセキュリティ性を保ちながら、個々のコンピュータに依存せずどこからでもユーザー認証を行うことができるというメリットがあるが、専用のサプリカントをクライアント側に入れる必要がある。

前ページまでに、一般的な認証方法として、EAP-TLS、PEAP、EAP-TTLSを挙げたが、それ以外には、EAP-MD5、LEAPなどの認証方式がある。図表11にそれらを含めた認証方式の特徴をまとめた。

2.1.6 WPAの導入　ネットワーク

IEEE802.11iは、2004年7月に制定された無線LANにおけるセキュリティ標準を定める規格である。WPAはIEEE802.11iに採用される予定であった暗号化規格の一部である。IEEE802.11i制定後、Wi-Fi Allianceはさらにセキュリティを高めたWPA2というWPAの改良規格を発表した。WPA2ではAES ³が暗号化アルゴリズムとして用いられている。今後導入する場合は、WPA2に対応した無線LANアクセスポイントを購入し、WPA2を利用することが望ましい。WPAとの違いを以下に示す。

WPAが採用しているRC4方式は1bitごとに暗号化を行うストリーム方式であるのに対して、WPA2が採用しているAESは128/192/256bitの鍵長をサポートするブロック暗号方式である。

データの完全性を確保するために従来使用していたICV,MIC方式ではなく、AESを用いたCCM方式を用いている。これにより、順番が誤って送信されたパケットは無線LANアクセスポイント側で破棄される。

図表13に、WEP、WPA、WPA2の比較を示す。