【トレンド解説】
その仕組みと概要、今後の展望

無線LANセキュリティの本命IEEE 802.11i登場

鈴木淳也(Junya Suzuki)
2004/6/4

無線LANセキュリティ技術の本命である802.11iの標準化がこの6月に完了する。従来のWEPを置き換えるべく登場する無線LANのセキュリティの新規格。その仕組みと概要、今後の展望を解説する。

 無線LAN業界が待ち望んでいた規格がいよいよ登場する。それがIEEE 802.11iだ。802.11iは、無線LANのセキュリティにおいて従来のWEPを置き換えるべく登場した、無線LANセキュリティ技術の本命だ。今年2004年6月に標準化が完了する見込みであり、暗号化通信技術のWPAが標準化されたときと同じように、すべてのWi-Fi準拠をうたう無線LAN機器で802.11i標準サポートが要求されることになるとみられる。標準化後に製品を買うのが確実だが、現在発売されている機器においても、その多くがファームウェアのアップデートなどで対応可能になると思われる。

 今回は、この802.11iという規格がどのようなもので、実際に利用するに当たってはどうすればいいのか、その辺りをまとめていく。

WPA+WPA2+802.1x=802.11i?

 802.11iの基本は、「暗号化通信」と「ユーザー認証」の2つにある。Wi-Fi Alliance*1が認証する無線LAN機器に標準で装備されているWEPよりも強力な暗号化技術に加え、従来のWEPではできなかったユーザー認証を行う802.1xを組み合わせることで、セキュリティ的に懸念される各種の問題を解決しようというものだ。

*1 Wi-Fi Alliance
無線LAN機器メーカーのほとんどが参加する業界団体で、新技術の開発や、製品同士の相互運用性の検証を行っている。テストに合格した製品には「Wi-Fi」の認定マークが付けられる。

 従来、企業向けに使用するにはWEPでは不完全として、セキュリティ・ベンダの多くはWEPに加え、802.1xなどの認証ソリューションを組み合わせてシステムの構築を行っていた。だがWEP自体の脆弱(ぜいじゃく)性が指摘される中で、より強い暗号化技術の登場が望まれていた。802.11iはそのような背景の中で標準化がスタートしたが、標準化作業が完了するまで時間がかかることが予想された。そこで、802.11iの一部仕様を先取りする形で、2002年末にWPA(Wi-Fi Protected Access)が登場した。Wi-Fi認定機器はWPAサポートが必須とされていたため、2003年春には多くのメーカーがWi-Fi認定のためにWPAをサポートしている。OSでは、Windows XPがSP1以降でサポートを行っている*2

*2 デフォルトの状態ではWPAは利用できないようになっている。Windows XPにSP1にアップデートして、WPA対応パッチをさらに当てる必要がある。

 そして、WPAよりさらに強力な暗号化技術であるWPA2が、今年6月に登場する予定だ。すでに気が付いた方もいるかと思うが、WPA2というのが、すなわち802.11iというわけだ。正確には、WPA+WPA2+802.1xをすべて包含するものが802.11iなのである。このWPA2のサポートをもって、802.11iの完全形が正式にデビューすることになる。以降では、802.11iの暗号化方式とユーザー認証についてまとめていこう。

WEPの弱点を解決する「TKIP」

 WEPの弱点は、しばしば各種のメディアで指摘されているが、その内容はだいたい次のポイントに集約される。

  1. 暗号に使う鍵長が短い(64bit時)
  2. 初期化ベクタ(IV)が24bitと短い(64bit/128bit共通)
  3. 鍵が通信中に変化しないため、一度解読されると暗号化の意味を成さない
  4. メッセージの完全性を保証できない(改ざんが可能)
  5. 鍵はアクセスポイントごとに固定、鍵さえ知っていればどのユーザーでもアクセス可
  6. ユーザーが接続先の真偽の確認を行えない(偽装アクセスポイントの設置が可能)

 WEPにおいて、暗号に使う鍵長は64bit暗号時に40bitと短く、最近のPCであれば多少時間をかければ解読できないことはない。故に64bitのWEPは使うべきではないといえる。問題なのは、128bit暗号(鍵長は104bit)のWEPにおける脆弱性である。WEPで暗号化を行う際は、手で入力するWEPキーに加え、無線LAN機器が自動的に設定する24bitのIVと組み合わせることで、暗号化のための暗号鍵を生成している。IVは、通信時に暗号化されないフラットな状態でやりとりが行われるほか、長さからいっても24bit(3byte)と短く、多少時間をかければ解読することが可能である。またWEPは、アクセスポイントとクライアントで共通のWEPキーを共有することで互いを認識するという機構上、一度WEPキーがばれてしまうと、そのアクセスポイントに接続するすべての通信のセキュリティが脅かされてしまう危険性をはらんでいる。

 そこで、WEPの弱点を解決するべく登場したWPAでは「TKIP(Temporal Key Integrity Protocol)」という暗号化方式を採用している。TKIPでは鍵長の拡張のほか、一定時間ごとに暗号鍵を更新する機構を加えることで、前出の(1)〜(3)の問題を解決している。また(4)の問題については、MIC(Message Integrity Code:「マイク」と呼ぶ)と呼ばれるメッセージの完全性を保証する機構を加えることで、セキュリティの3大要素(「盗聴」「なりすまし」「改ざん」)の最後の1つ「改ざん」を防止できるようになった。(5)と(6)の問題については、802.1xの認証機構と組み合わせて使用することで回避できるようになっている。

 細かく見ていこう。WEPでは固定の共有キーを用いることが問題になっていたが、TKIPではそれを避けるため、ユーザー認証後にサーバ側から最初の鍵を交付する方式になっている。後述の802.1xの認証システムを使って、クライアントは最初にアクセスポイント経由で認証サーバにアクセスして、そこで認証が完了すると、やはりアクセスポイント経由で鍵の交付を受ける。以後は、一定時間ごとに鍵の更新が行われ、同じ鍵が使用され続けることはない。このように鍵の管理方法の変更がTKIPでの最も大きなポイントだが、この方式では、TKIPの使用に当たって必ず認証サーバとの組み合わせが必要になってしまう。企業用途では問題ないが、手軽に無線LANを使いたいという個人ユーザーにとっては利便性が低い。そこで、個人ユーザー向けにTKIPでは「PSK(Pre-Shared Key)」というWEPと同じ共有キー方式も提供している。最初に使用する共有キーをアクセスポイントとクライアント側で共有しておき、後はTKIPにより一定時間ごとに鍵を更新する。これを「Home Mode」といい、認証システムを利用する企業向けソリューションの方を「Enterprise Mode」という。Home Modeでは、PSKが認証の役割も果たしている。

 TKIPでは、IVの鍵長の変更や一定時間ごとの鍵更新などの機能変更こそ行われているものの、実は暗号化アルゴリズム自体はWEPと同じ「RC4」という方式がそのまま採用されている。RC4に加え、MIC生成用にメッセージ・ダイジェスト関数を用いる以外は、技術的に目新しい部分はないといえる。つまりIVこそ拡張されているものの、ある程度時間をかければ解読は可能である。だが一定時間ごとの鍵更新機能を加えることで、更新のインターバル間での解読を難しくしている。WEPの脆弱性がたびたび指摘されていたため、RC4自体に問題があるような認識を持ってしまいがちだが、実際にはRC4はそれほど弱い暗号化アルゴリズムではない。長い鍵長で、きちんとした使い方さえしていれば、今回のTKIPのように比較的強力なソリューションを提供可能だ。

さらに強固な暗号化アルゴリズム「AES」

 前出のようにTKIPの技術はWEPの延長にある。鍵管理の方法を工夫することでセキュリティの強化を行っていた。だが、暗号化アルゴリズムそのものを強化することで、さらに解読が難しい暗号を実現しようというのが、WPA2で採用された「AES(Advanced Encryption Standard)」だ。AESは、1990年代後半に米国政府がそれまで使用していたDESやトリプルDESに代わる強力な暗号ソリューションを一般公募したものがベースとなっている。最終的に、ベルギーより提案されたRijndaelが米国標準技術局(NIST:National Institute of Standards and Technology)にAESとして採用された。AESでは128/192/256bitの3種類の鍵長を持ち、暗号強度自体もDESなどに比べ大幅に強化されている。

 つまり、AESのサポートをもって802.11iが完成するということだ。802.11iが標準化された段階で、Wi-Fi認定にはAES、すなわちWPA2のサポートが必須となると思われる。だがAESは強力な分、暗号化に必要な計算量が従来のRC4などに比べて格段に増えている。個人ユーザー向けのアクセスポイントなどでは、価格引き下げのために比較的低速なプロセッサを採用していることも多く、同時接続クライアント数が増えるとAESの処理が間に合わない可能性もある。標準化以後に登場する新製品では問題ないだろうが、従来製品の中には802.11iの完全サポートができないものも出てくるだろう。

 前出のWindows XPをはじめ、無線LAN製品の中には、すでにAESサポートの標準化に先行したものもある。その場合、標準化後にファームウェアのアップデートなどが行われることになるかもしれない。

802.1xの認証システムを形作る「EAP」

 TKIPとAESが802.11iの片翼なら、802.1xによる認証はもう片方の翼である。両方そろって、初めてセキュリティ・ソリューションとしての802.11iが機能する。802.1xは、イーサネットや無線LANを問わず、各種の媒体でユーザー認証とそれによるアクセス・コントロールを実現すべく考案されたセキュリティ規格である。

 802.1xでは、クライアントはネットワークのアクセス前にまずRADIUSなどの認証サーバへと接続し、ユーザー認証を受ける必要がある。認証の後、ユーザーは初めてネットワークへのアクセス許可を受けることになる。これを無線LANに当てはめた場合、クライアントはまずアクセスポイントに接続することになるが、さらにそこを経由して認証サーバへとアクセスする。ユーザー認証の方法はさまざまあるが(後述)、ここで認証が行われると、認証サーバよりアクセスポイント経由で鍵の交付が行われる。これが、Enterprise Modeで最初の通信に用いられる暗号鍵である。クライアントは、この鍵の交付をもって、初めてアクセスポイントを経由したネットワークへのアクセスを許可されたことになる。

 クライアント―認証サーバ間のやりとりに用いられるプロトコルをEAP(Extensible Authentication Protocol)と呼ぶ。EAPには表1のような種類のものがあり、用途によって使い分けられる。EAPの最もベーシックなものがMD5で、ユーザーIDとパスワードによるシンプルな認証ソリューションが提供される。だが難点として、EAPで重要な双方向認証が提供されないため、現在ではほとんど使われることはない。双方向認証とは、サーバがクライアントの正当性、また逆にクライアントがサーバの正当性を検証するものである。なぜ双方向認証が必要なのかといえば、サーバがクライアントを認証するのは当然として、逆にクライアントはサーバが本物かどうか(つまり本当に信頼できる相手なのか)を認証できなければ、通信相手となる認証サーバがニセモノで、個人情報の抜き取りなどを目的としている悪意のあるものかもしれないからだ。双方向認証によって、クライアントとサーバ、双方の「なりすまし」を防止できるのである。

 EAPにはMD5のほかに、シスコシステムズのLEAP、マイクロソフトのPEAP、PEAPと同等のソリューションを提供するTTLS、認証に電子証明書を用いるTLSなどの種類がある。LEAPはMD5の改良型でIDとパスワードによる認証を基調としており、シスコがWEPの補完ソリューションとして長らく提供していたものだ。だが最近になり辞書攻撃に対する致命的な欠陥が指摘され、シスコ自身がより新しい技術であるFAST(Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling)の使用を推奨している。PEAPは、サーバによるクライアント認証はIDとパスワード・ベースだが、クライアントによるサーバ認証では電子証明書(サーバ証明書)で接続先サーバの信頼性を確かめるようになっている。だがPEAPがサポートするクライアントはWindowsに限定される。TTLSも同様のソリューションだが、クライアント向けの専用ソフトウェアが必要となる。最後のTLSでは、双方向の認証に電子証明書が用いられる。ただし、クライアント証明書が必要となる。

 どの方式も一長一短なため、これが確実というものはない。どの認証方式を採用するかは、機器側の対応や利用形態を見て判断していくといいだろう。

方式 双方向認証 クライアント証明書 サーバ証明書
EAP-MD5 なし なし
LEAP なし なし
FAST なし なし
PEAP オプション あり
TTLS オプション あり
TLS あり あり
表1 EAPの認証方式

802.11iをどのように自社のシステムに組み込むか

 メーカーからの対応製品の出荷は、802.11iの標準化以後に活発になるだろう。だが多くの製品が802.11iのサポートを見越して機能強化を行ってきており、導入に際して標準化を待つ必要は特にないと思われる。クライアント・ソフトウェアの対応も特に問題となる部分はないだろうし、企業側としてはRADIUSなどの認証サーバの部分や、802.11iをネットワーク管理全体のポリシーにどう当てはめるかを考える方が重要ではないだろうか。

 例えば、暗号化方式だけでもWEP、TKIP、AESの3種類が利用できる。EAPもどれを利用するのかは難しいところだ。WEPは必要ないかと思われるが、もしネットワーク内にWEPのみをサポートする製品がある場合、必然的にWEPを選択せざるを得ない。またTKIPとAESではパフォーマンス的な問題で、どちらを採用するかが決まってくるだろう。EAPについても、TLSが一番強力だが、クライアント側に証明書が必要になる。PEAPは便利なソリューションだが、クライアントがWindowsに限定されるなどの問題もある。これらを踏まえたうえで、どれを採用すべきかを判断するのがセキュリティ担当者の腕の見せどころだ。

関連リンク
  特集 エンタープライズ・ワイヤレスLAN
認証サーバ+IEEE802.1xを使った 大規模無線LAN構築方法

前編:いまのアクセスポイントがダメな理由
中編:安定稼働しない無線LANセキュリティの課題
後編:802.1x認証無線LAN導入での疑問を解消するQ&A
第11回 読者調査結果 〜無線LAN/ギガビット・イーサネットの導入状況は?〜
トレンド解説:IEEE 802.11iとWPA
無線LAN構築のABC (System Insider)


「Master of IP Network総合インデックス」


Master of IP Network フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Master of IP Network 記事ランキング

本日 月間