無線LANのセキュリティ対策の重要性
無線LANは、電波を使って無線LANアクセスポイント(以下、親機とする)と無線LAN機能を持つパソコンなど(以下、子機とする)との間で通信を行うネットワーク環境のことです。親機と子機の双方に設定をすることで、通信が可能になります。電波の届く範囲なら壁などの障害物を超えてどこでも通信が可能という便利さを備えています。しかし、その便利さとは裏腹に、悪意ある者から不正アクセスの対象として狙われ易い環境とも言えます。しかも、電波という、目に見えない通信経路を使うということは、侵入されていることさえも気付きにくいため、大きな脅威となります。
図1 無線LANの脅威
想定される被害として以下のようなことが挙げられます。
- 無線LAN環境に侵入され、重要な情報を盗まれる。
- 無線LAN環境を無断で利用される。
- 通信データを盗聴される。
これらの行為の多くは、無防備な親機を介して行われます。悪意ある者は、ウォードライビング(War Driving)と呼ばれる行為によって、無防備な親機を探し回っています。こうして探索された無防備な親機が犯罪に利用されたと思われる事件がいくつか起きています。
このような被害に巻き込まれないためにも、無線LANのセキュリティ対策には十分注意する必要があります。特に、セキュリティ設定の中でも、通信の途中で内容を見られたり改ざんされたりしないようにデータを変換処理する暗号化方式がポイントになります。この暗号化方式が強力でないと、短時間で通信内容が解読され盗聴されると同時に、認証が破られ、無断利用を許してしまいます。したがって、適切な暗号化方式を選択することが最も重要になります。
無線LANのセキュリティ対策のポイント
一般家庭向けの無線LANのセキュリティ対策のポイントは以下のとおりです。
(a)SSID(Service Set ID)の設定
SSIDとは親機を識別するためのIDです。ESSID(Extended SSID)とも言います。
(b)MAC(Media Access Control)アドレスフィルタリング
MACアドレスとはネットワーク機器固有のアドレスです。MACアドレスフィルタリングにより
接続可能な子機を制限します。
(c)暗号化方式の設定
このうち(a)、(b)はセキュリティ対策として十分でないため、特に重要である「(c)暗号化方式の設定」について以下に説明します。
暗号化方式の種類
無線LANの暗号化方式には大きく分けて以下の3つがあります(表2)。
(i)WEP(Wired Equivalent Privacy)
WEPは、無線LANの世界で最初に登場した暗号化方式です。今までに以下のようないくつかの欠点が見つかっているため、現状では使用することを推奨しません。
(a)暗号化に使う鍵データの生成方法が単純であるため、解析が容易であること。
(b)パスワードを変更しない限り、暗号化に使う鍵は同じものが使用され続けること。
(c)(a)および(b)が原因で、暗号化方式そのものが既に解読されていること。
(d)通信データの改ざん検知ができないこと。
(ii)WPA(Wi-Fi Protected Access)
WPAは、欠点が多いWEPの代わりとして考えられた方式です。新たにTKIP
(Temporal Key Integrity Protocol)と呼ばれる技術が採用され、WEPの欠点として前述した(a)、(b)、(d)が改善されています。しかし、暗号強度に直接影響する暗号技術がWEPと同じままであるため、暗号化方式として万全とは言えません。一般家庭向けのモードとしては、簡易認証方式としてPSK(Pre-Shared Key)を使うWPA-PSK(WPA-パーソナルとも呼ばれます)があります。
(iii)WPA2(Wi-Fi Protected Access 2)
WPAの改良版であるWPA2では、より強力な暗号技術であるAES
(Advanced Encryption Standard)を採用しているため、WEPやWPAの欠点が全て解消されていると言えます。一般家庭向けのモードとしては、簡易認証方式としてPSK
(Pre-Shared Key)を使うWPA2-PSK(WPA2-パーソナルとも呼ばれます)があります。一般家庭においては、暗号化方式としてWPA2-PSKが最も強力であり、安全です。
表2 無線LANで用いられる暗号化方式の比較
セキュリティ設定方法
(1)暗号化方式の設定手順
まず初めに親機の設定をしてから、次に子機側の設定を親機に合わせる、という手順となります。パソコン本体に無線LAN機能が内蔵されていない場合は、無線LANカードなどを子機として接続し、パソコンから設定します。
無線LANセキュリティ設定において暗号化方式を選択するにあたり注意すべきことは、親機と子機の全てが、前述した3つの暗号化方式を選択可能であるとは限らない、ということです。
以下の手順で、適切な暗号化方式を選択してください。ここでは親機の設定を例に説明しますので、子機も同様に設定してください。
(i)暗号化方式は、前述したうち最もセキュリティ強度が高いWPA2-PSKという方式を選択して下さい。その中から“AES暗号を使うWPA2-PSK”という意味である「WPA2-PSK(AES)」という方式を選択することを推奨します。しかし、親機によってはWPA2-PSKに対応していないものもあります。対応しているかどうか、自身で判断がつかない場合は取扱説明書を確認するか、メーカーへ問合わせてください。
(ii)WPA2-PSKに対応していない場合は、次善の策としてWPA-PSKという方式をを選択して下さい。
WPA-PSKには、AES暗号を使う「WPA-PSK(AES)」とRC4暗号を含んだ技術であるTKIPを使う「WPA-PSK(TKIP)」と言う2種類の方式があり、通常はセキュリティ強度が高い「WPA-PSK(AES)」という方式を選択することを推奨します。親機と子機とが接続できないなどの問題が生じた場合に限り、「WPA-PSK(TKIP)」を選択してください。しかし、WPAはWPA2よりセキュリティ強度が劣りますので、あくまでもWPA2対応機へ移行するまでの“つなぎ”としての役割であるという認識を持って使用して下さい。
(iii)WPA2-PSKとWPA-PSKに対応していない場合でも、内部ソフトウェアのアップデートによりWPAに対応できるものもあります。詳細については、メーカーのホームページなどで確認しましょう。WEPには前述した通り欠点が見つかっていますので、WPAに対応できない場合は使用しないで下さい。
以上のように、親機と子機が対応している暗号化方式を確認し、その中から最もセキュリティ強度の高いものを選択する、という流れになります。
なお、親機と全ての子機とが、選択したい暗号化方式に対応していなければなりません。つまり、WPA2-PSK(AES)を使いたい場合は、親機と全ての子機がWPA2-PSK(AES)に対応していることが条件です。
以下に子機側の設定画面例を示します(図3、図4)。
図3 Windows Vista設定画面例
図4 Windows XP設定画面例
(2)パスワードの設定
WPA2-PSKやWPA-PSKでは、無線LANの盗聴や無断利用を防ぐためのパスワードを設定します。WPS(以下、「設定の容易化について」を参照)を使用した場合は、パスワードは自動設定されます。パスワードを手動で入力する際は、容易に推測されることを防ぐため、以下の注意事項に従ってください。
- 英語の辞書に載っている単語を使わない
- 大文字、小文字、数字、記号の全てを含む文字列とする
- 文字数は最低でも20文字(半角英数字+記号の場合。最大で63文字)
設定の容易化について
無線LANのセキュリティを適切に設定するには、多くの知識や管理の手間を必要とするために、一般の方にとっては非常に重荷です。この問題を改善するために制定された仕組みが、
WPS(Wi-Fi Protected Setup)です。WPSに対応した親機と子機同士であれば、複雑なセキュリティ設定項目をワンタッチで自動設定でき、簡単かつ安全にネットワークの接続が可能となりますので、一般家庭ではWPSの使用をお勧めします。
(i)これから無線LANを導入しようとしている方
WPS対応の親機と子機を準備し、WPSによって自動設定することを推奨します。
(ii)既に無線LANを利用している方
現在お使いの親機と全ての子機が「WPSに対応しているか」を確認しましょう。WPSに対応 していると分かった場合は、WPSの機能が使われているか(有効になっているか)を確認しましょう(図5)。もし使われていなかった場合は、WPSを使用するようにしましょう。
親機と、1台以上の子機がWPSに対応していれば、WPSを使用できます。しかし、現在お使いの子機の中に、WPSに対応していないものがあった場合は、その子機に限っては設定を手動で行う必要があります。「暗号化方式の設定手順」を参考にしてください。
また、親機と子機がWPSに対応していない場合でも、無線LAN機器メーカー独自の自動設定機能を使える場合は、それを使用してください。メーカー独自の自動設定機能も使用できない場合は、設定を手動で行う必要があります。
図5 WPS設定画面例
ご参考
IPA「不正アクセス対策のしおり」
http://www.ipa.go.jp/security/antivirus/documents/04_fusei.pdf
IPA「無線LAN利用環境のための運用上のセキュリティ対策」
http://www.ipa.go.jp/security/fy18/reports/contents/enterprise/html/411.html
ベンダー情報
- NEC
http://121ware.com/ - NTT-ME
http://www.ntt-me.co.jp/mn/ - NTT東日本・西日本
http://web116.jp/ced/
http://www.ntt-west.co.jp/kiki/consumer/flets/ - アイ・オー・データ機器
http://www.iodata.jp/ - アイコム
http://www.icom.co.jp/ - アドテック
http://www.adtec.co.jp/ - アライドテレシス
http://www.allied-telesis.co.jp/ - エレコム
http://www.elecom.co.jp/ - 京セラ
http://www.kyocera.co.jp/index.html - コレガ
http://www.corega.co.jp/product/list/ - ソニー
http://www.sony.jp/ - 富士通
http://www.fmworld.net/biz/fmv/product/hard/ocr/fmwbr102/ - プラネックスコミュニケーションズ
http://www.planex.co.jp/product/broadlanner/ - マイクロ総合研究所
http://www.mrl.co.jp/ - バッファロー
http://buffalo.jp/support_s/ - ヤマハ
http://www.rtpro.yamaha.co.jp/ - ロジテック
http://www.logitec.co.jp
更新履歴
| 2008年 7月2日 | 構成及び内容について更新、ベンダー情報について更新 |
|---|---|
| 2003年 7月29日 | ベンダー情報について更新 |
| 2003年 7月16日 | 概要及びセキュリティに関する対処方法について更新 |
| 2003年 7月10日 | セキュリティに関する対処方法を追加 |
| 2003年 6月12日 | 無線LANアクセスポイントとクライアントPCの設定例について更新 |
| 2003年 6月 5日 | 概要及びセキュリティの対処方法について更新 |
| 2003年 2月28日 | 掲載 |
