アットマーク・アイティ @IT@IT情報マネジメント@IT自分戦略研究所QA@ITイベントカレンダー  
 
 @IT > IPNによるウルトラセキュリティ〜無線LANにおけるセキュリティの不安を完全に解決
 
@IT Special

 

PR

無線LANにおけるセキュリティの不安を完全に解決
IPNによるウルトラセキュリティ

 便利だが大企業以外では意外と導入の進まない無線LAN。その最大の理由であるセキュリティへの不安を、まったく新しい技術で解決するのがトリニティーセキュリティーシステムズのIPN-WLANだ。確実な相互認証を実現する独自のワンタイムパスワード技術が、企業における無線LAN利用に「ウルトラセキュリティ」を提供する。

 無線LAN、便利だが導入が進まない理由

 配線不要の無線LANは、便利なため家庭でも広く普及している。最近では無線LAN機能がもともと搭載されているノートPCも多く、ホットスポットを利用しているビジネスマンもよく目にする。しかし、企業ネットワークでの普及率は、まだ半分を大きく超えてはいない。その理由として最も大きなものは、セキュリティに不安があるということだ。

 有線LANの場合、基本的にはケーブルに物理的に接続されていなければネットワークに参加できない。しかし、電波は誰でも拾うことができるので、無線LANの場合は物理的には誰でも社内ネットワークにアクセスできる可能性がある。そこで、セキュリティ対策が不可欠となるわけだが、考慮しなければいけない点は以下の3つだ。

  • 確実に相互認証する
  • 盗聴されないように通信を暗号化する
  • 暗号化のための鍵を盗まれないようにする

 家庭で無線LANを利用する場合でも、今はセキュリティの設定をまったくしないという人はおそらくあまりいないだろう。WEP【注1】TKIP【注2】により通信を暗号化する際、アクセスポイントとクライアントで共通の秘密鍵が必要なため、その鍵を持たないクライアントは接続できない。ただし、この場合クライアントは認証しているが、アクセスポイントの正当性はまったく担保されていない。

【注1】
Wired Equivalent Privacy:読み方はウェップ。秘密鍵暗号方式であるRC4アルゴリズムを採用した無線LAN用の暗号技術だが、さまざまな攻撃手法が発見され信頼性は低い。

【注2】
Temporal Key Integrity Protocol:
読み方はティーキップ。WEPの欠点を解消するために新しく規格化された「WPA」で使われている暗号化プロトコル。固定の暗号化キーを使うWEPに対して、TKIPはキーを自動的に変更する。

 企業で無線LANを利用する場合、不正アクセスポイントが重大なセキュリティホールになることが知られている。便利だからと、社員がアクセスポイントを勝手に持ち込むことがあるが、情報システムの担当者が知らないアクセスポイントには、セキュリティポリシーが適用されていないからだ。そこで、アクセスポイントも正規のものであるという認証、つまりクライアントとアクセスポイントの相互認証が、企業ネットワークでは不可欠となる。

 現在、セキュアな無線LAN環境を構築するには、一般的にIEEE 802.11iと呼ばれる方式が利用される。これは、RADIUSなどの認証サーバを利用したIEEE 802.1xによるユーザー認証と、電子証明書によるアクセスポイントの認証を組み合わせたものだ。しかし、認証サーバや認証局を構築・運用するには高度な技術が必要であるという問題点がある。もちろん、コストもかかる。そのため、大企業以外では導入がなかなか進まない。

 新たな認証プロトコルによる高セキュリティ

 ケーブルの敷設が不要で、組織変更や人事異動の際にも変更工事などをしなくてすむ無線LANのメリットを享受したいのは、大企業だけでなく中小規模でも同様だ。しかし、かけられる予算は異なるというのが実情だろう。そこで、新たな解決策として注目される技術が、トリニティーセキュリティーシステムズのIPN(Identified Private Network)だ。

 この技術を特に無線に適用したIPN-WLANは、セキュアな無線ネットワークの3つの必要条件をクリアするまったく新しい方式だが、特に相互認証の機能に特徴がある。同社ではこれを「ウルトラセキュリティ」と表現している。

・確実に相互認証する

 認証サーバと認証局なしに、ピアツーピアで相互認証を行う。これには、高知工科大教授でトリニティーセキュリティーシステムズ取締役の清水明宏氏が考案したSAS-2(Simple And Secure password authentication protocol, ver.2)というワンタイムパスワードによる相互認証プロトコルを利用している。

 SASは、XORとハッシュの2種類の演算を使うもので、ほかのワンタイムパスワードよりハッシュ演算の回数が格段に少ないため動作が非常に軽い。その結果、アクセスポイントやクライアントPCといったハードウェアスペックの低い機器でも実現でき、ピアツーピアの相互認証が可能となる。さらに、相互認証が成立するまでのステップも802.1xより少ない。

・盗聴されないように通信を暗号化する

 暗号方式は、WEPやTKIPなどより安全強度の高いAES【注3】を利用しているため、盗聴の心配はまずない。また、相互認証の成立後、データフレームの中にIPN-WLANの認証データを付加して、それをAESの128bitで暗号化したもので通信する。つまり、フレームごとに暗号鍵を変えながら通信しているため、さらに解読は困難である。

【注3】
Advanced Encryption Standard:米国商務省標準技術局(NIST)が定めた共通鍵暗号方式の米国標準暗号だが、デファクトスタンダードとなっている。世界中から応募された15種類の候補から、Rijndaelが採用された。

・暗号化のための鍵を盗まれないようにする

 認証鍵・暗号鍵の両方を動的にフレームごとに更新しているため、万が一鍵を盗まれても、次のフレームではその鍵は使えない。さらに、鍵の変化には乱数を用いるためまったく規則性がなく、解析も不可能。

 IPN-WLANとほかの暗号方式の比較をまとめた(表をクリックすると別ウィンドウで拡大します)。

 管理・運用やスループットにもメリット

 無線LANに求められるのは、セキュリティの高さだけではない。特に、担当者が不足しがちな中小規模の企業では、設定や運用の容易さも重要だ。その点、IPN-WLANはRADIUSサーバや認証局が不要なため、担当者に高度な技術や知識は必要としない。IPN-WLANに対応したアクセスポイントと、クライアント用のPCカードがあれば、ユーザーはパスワードを設定するだけでよい。そのパスワードと乱数によって認証用のデータが自動的に生成され、ピアツーピアの相互認証が行われるからである。

 さらに、アクセスコントロールの際にRADIUSサーバに問い合わせないため、高速にローミングできるというメリットもある。IPN-WLANは処理負荷が軽いため、携帯電話のような非力なデバイスにも搭載でき、昨今人気の出始めた無線LANによる携帯電話も、音声の途切れなく利用することが可能だ。

 以上のように、プロトコル自体の処理負荷が軽く認証のための通信回数も少ないため、スループットの劣化も起こらない。また、セキュアなフルメッシュネットワークの構築も可能となっている。コスト的にも、802.11iではRADIUSサーバや認証局、ローミングのためのスイッチなどで150万円くらい必要となるが、IPN-WLANでは数十万円程度で同等の機能を実現できる。

 トリニティーセキュリティーシステムズでは、2006年11月中旬にIPN-WLANの無線LAN製品を発売する。さらに、この技術のIEEEでの標準化提案を進めているところだ。日本発のデファクトスタンダードが誕生する日も近いかもしれない。


提供:株式会社トリニティーセキュリティーシステムズ
企画:アイティメディア 営業局
制作:@IT編集部
掲載内容有効期限:2006年10月18日
 
関連リンク
トリニティーセキュリティーシステムズ

IPN技術とは

■ホワイトペーパー「IPN for Wireless LAN」(PDF)


 
@ITトップ@IT Special インデックス会議室利用規約プライバシーポリシーサイトマップ