無線LANを取り巻く現状をひもとく本特集。「セキュリティ」と「管理性」という無線LANが抱える課題が明らかになった前回を受け、“無線LANのセキュリティ”をより掘り下げるべく、サイバーディフェンス研究所 最高ハッキング責任者 林真吾氏に話を聞いた。
「セキュアで高速な無線LAN環境構築のために知っておくべき全て」と題し、企業の無線LAN環境構築における勘所を整理する本特集。第2回となる今回は、前回明らかになった無線LANに関する2つの課題「セキュリティ」および「管理性」のうち、無線LANのセキュリティに焦点を当て、サイバーディフェンス研究所 最高ハッキング責任者の林真吾氏に注意すべきポイントについて聞いた。
「無線LANは、信頼できないインフラとして導入すべきです。保護するにも、対策や運用に掛かる手間が多く、しかも確保できるのは当座の安全性に過ぎません」。サイバーディフェンス研究所 最高ハッキング責任者の林真吾氏は、いきなり一刀両断する。
無線LAN製品が市場に登場し始めたのは、1997年ごろだ。その後1999年に通信速度11Mbpsの「IEEE 802.11b」規格が標準化されると、アップルやメルコ(現バッファロー)などの対応製品が一気にホームユーザーの間で普及した。今では、理論上の最大伝送速度が6.9Gbpsという「IEEE 802.11ac」規格も登場し、社内ネットワークの構築においても、企業向け無線LAN製品の導入が、当然のように検討項目として挙げられるようになっている。
その無線LANで、初期から現在に至るまで課題となっているのが「セキュリティ」だ。盗聴対策として最初に提案された無線通信の暗号化技術「WEP」(Wired Equivalent Privacy)は、2000年代に入ってから数々の脆弱(ぜいじゃく)性が指摘され、解読ツールも出回るなど、容易に傍受可能であることが明らかになってしまった。その後は、強化版の「WPA」(WiFi Protected Access)が登場し、さらにTKIP(Temporal Key Integrity Protocol)やAES(Advanced Encryption Standard)といった暗号化方式を採用した「WPA-PSK(Pre-Shared Key)」や、WPAの後継「WPA2」が標準化されるなど、暗号化技術の進化が進み、盗聴に対しては一定の安全性が確保されるようになった。しかし依然として、無線LANのセキュリティに関する不安の声は絶えない。
林氏はそんな現状に対して、「設定や運用面でセキュリティが破たんしてしまっているケースが多い」と指摘する。基本的な例を挙げれば、コスト上の理由から家庭用の製品を導入している中小企業などにおける機器設定の問題がある。このような企業では、覚えやすいパスフレーズを導入時に設定し、長期間運用を行う傾向があったり、退職者が出た後に認証情報をそのままにしていたりするなど、運用面の問題がセキュリティリスクを生んでいることが少なくない。また、“勝手なアクセスポイントの設置”などもよく聞く話だ。
では、無線LANの技術/運用面での対策としては、何を行うべきなのだろうか? 「答えはほとんど語り尽くされている」と林氏は言う。「例えば、無線LAN経由で社内ネットワークに侵入されるリスクには、EAP-TLSのような、デジタル証明書を用いた『IEEE 802.1x』認証や、ワンタイムパスワードが有効です。個々の対策の具体的な運用方法については、IPA(情報処理推進機構)が公開している『無線LAN利用環境のための運用上のセキュリティ対策』や『無線 LAN <危険回避> 対策のしおり』などを参考にするのがよいでしょう」(同氏)。
ただし、対策がほぼ出尽くしているとはいえ、「それでも無線LANを守り切ることはできない」と林氏は断言する。正確には、「無線LAN機器の周辺だけでセキュリティを実現しようとするのは無理」であり、「無線LANへの不正接続を許してしまうことを前提として、社内のネットワーク機器のアクセス制御などと組み合わせ、最終的に重要なデータへ到達できないようにする」という多層防御を施すことが重要だと同氏は強調する。無線LAN周辺のセキュリティ対策に注意するあまり、他がおろそかになっては意味がないというわけだ。
ここで林氏に、「社内ネットワークへの侵入を試みる攻撃者の視点で無線LANを見るとしたら、どこに注目するか?」と尋ねてみた。すると同氏は、「もしもアクセスポイントが露出しているなら、背後のLANケーブルを引き抜いて、中間に小型のアクセスポイントを差し込みます」とあっけらかんと答えた。
確かに、ネットワークのセキュリティ対策に目を奪われ、物理セキュリティがおろそかになっては元も子もない。部屋をパッと見回したときに、社内ネットワークへの侵入口が分かりにくいようにすることも対策の1つなのだ。
「要するに、無線LAN単体では本当に対策が難しいんです。だからこそ、社内ネットワーク側のポリシー管理などと合わせて、多層的に防御する必要があります」。そう前置きした上で同氏は、無線LAN周辺で注意すべきポイントの例として、ゲスト用ネットワークを挙げた。
近年では、受付ロビーに簡単な打ち合わせスペースを用意し、インターネット接続が可能なゲスト用Wi-Fiを提供している企業も多い。こうしたゲスト用ネットワークについては、社内ネットワークからの切り離しはもちろんのこと、他にも注意すべき点がある。「ゲスト用のネットワークでは、アクセスポイントを共有するPC同士が通信できないよう設定しておくことが必須です。そうでなければ、来客を装って受付ロビーに入り、ゲスト用Wi-Fiに接続するだけで、簡単に他の来客のPCを攻撃できてしまいます」(林氏)。ゲスト用ネットワークでは、“プライバシーセパレータ”などと呼ばれるアクセスポイントの機能を有効にして、PC間の通信を禁止するように設定したい。
また、ゲスト向けアクセスポイントの管理画面に、外部からアクセスできないようにしておくことも大切だ。「ある企業でセキュリティ診断を実施した際に、ゲストアカウントを使って無線アクセスポイントからゲスト用ネットワークにアクセスし、そのアクセスポイントに割り当てられているであろうIPアドレスを入力したところ、管理画面があっさり開いてしまったことがありました。もし管理アカウントが初期設定状態であれば、すぐにログインを許してしまうでしょう。管理用のネットワークを別に用意するなどの対策が必要です」。
さらに、無線LANのセキュリティ対策の1つとして先に挙げた“証明書を使った認証”についても、「実は、回避することができます」と林氏は明かす。
「例えば、証明書が発行されているPCに、USBの有線LANアダプターをつなげて、そこに無線アクセスポイントなどを接続します。こうすれば、正規のデバイス経由で、不正なデバイスを社内ネットワークに接続することができます」――無線LAN周辺だけで完璧な防御を実現しようとするのは、無理があるといえそうだ。
Copyright © ITmedia, Inc. All Rights Reserved.