IPN-WLAN技術解説
日本からの挑戦!
セキュアな無線LANを構築する技術を求めて
中村 健之株式会社トリニティーセキュリティーシステムズ
取締役
2006/10/11
無線LANはホームユースでは普及しているものの、ビジネスシーンでの利用はまだ一般的にはなっていない。普及を阻害する原因のひとつである無線LANのセキュリティ確保について、日本発の新たな技術を紹介する。(編集部)
企業LANを無線にするというのは、多くの企業にとって魅力的である。まず、煩わしいLANケーブルの配線の必要がない。ネットワークに接続したままPCを持って移動できる。会議室などLANケーブルの本数に限りがあるような場合、全員がネットワークに接続した状態で会議を行うことは難しいが、無線LANが導入されていれば全員がネットワークにつながった状態で会議ができる。
最近では、ネットワークを介して仕事を行うことが非常に多くなってきているので、無線LANの必要性がますます高くなってきている。セキュリティの問題で、シンクライアントを導入する企業や自治体も増えてきているが、その場合、ネットワークへの接続は必須となる。
無線LANは、その利便性と仕事の生産性を上げられるということで、企業での導入が増えてきているのは事実である。全社導入というのではなしに、一部部門での導入というのも含めると、ある報告書の調べでは6割以上の企業で無線LANが導入されている。
一方、無線LAN導入に消極的な企業も存在するというのも事実である。その理由は、無線LANのセキュリティに不安があるからというのが圧倒的に多い。
無線電波はオフィスの外にも出てゆき、それを誰でも拾うことができる。そのため、その内容を盗聴されない仕組みを組み込んでおく必要がある。また、有線と同じように、ネットワークに接続できるユーザーは、正規のユーザーのみに制限できる仕組みも必要だ。さらに、ユーザーのアクセスコントロールだけでなく、ユーザーがなりすましのアクセスポイントに間違って接続してしまわないような仕組みをつくっておく必要もある。企業での導入に耐える無線LANのセキュリティに対する必要条件をまとめると以下のようになる。
- ユーザーとアクセスポイントの間で相互認証ができること
- 強固な暗号通信ができること
- 認証データや暗号鍵が盗まれない仕組みであること
本稿では、企業で安全に利用できる無線LANを構築するためのセキュリティプロトコル「IPN-WLAN」と、そこで利用されている相互認証アルゴリズム「SAS-2」について解説する。
| 【編集部注】 「IPN」はトリニティーセキュリティーシステムズが開発した技術である。また、「SAS-2」は高知工科大学の清水明宏教授が考案した技術である。 |
無線LANにおけるセキュリティ確保の難しさ
ユーザーとアクセスポイントの間でのセキュアな通信の最初のステップとして相互認証をする必要がある。IEEE 802.11i(WPA)で規定されている無線LANのセキュリティ標準では、相互認証のために認証サーバ(RADIUSサーバ)と認証局(CA)をたてる。これは、有線のアクセスコントロールの標準であるIEEE 802.1Xをベースにした相互認証の方式で、IEEE 802.11iの中ではEAP-TLSという方式が最も強固である。
EAP-TLSは確実な相互認証を行えるのでセキュリティは高いのだが、ユーザーとRADIUSサーバの双方で電子証明書の管理が必要なうえ、RADIUSサーバそのものの運用を行う必要もある。RADIUSサーバの管理・運用については、管理者の側で相当の専門知識を必要とするので、一般企業などではIT管理者の確保が課題となる。
では、相互認証をするうえで認証サーバに頼らない方法はあるであろうか。その方法としては、ユーザーとアクセスポイントの間で共通の認証パスワードを所有し、これが一致すれば認証成立とする方式がある。
しかし、この方式では認証値が固定となり、いったん認証値が第三者に知られてしまうと何のセキュリティも持たないことになる。さらに、認証値が第三者に知られてしまっていることをチェックすることができないので、ユーザーは安全と思っていても、実際には通信の内容が筒抜けになっているというような危険な状況をつくってしまうこともある。
従って、現在世に出ている無線LANのセキュリティとしては、IEEE 802.11iでのRADIUSと認証局を使用した相互認証の仕組みが必要であるといえる。
無線LANに求められるセキュリティ機能の2点目として、強固な暗号化通信がある。企業での使用を考えると、少なくともAES 128bitの暗号を用いるべきである。
さらに3点目として挙げた認証データと暗号鍵が盗まれない仕組みについては、認証データや暗号鍵を固定にせず、いわゆるワンタイムパスワード方式とする必要がある。この点においてIEEE 802.11iでは、認証サーバを使うことにより暗号鍵をその都度変更しているので十分セキュリティの要件を満たしている。
 |
問題
|
しかしながら、無線LANのセキュリティを確保するための手段が、EAP-TLSのような大企業向きの方式でしか実現できないとなると、中小企業など必ずしも専門知識を有したIT管理者を持たないところではなかなか導入できない。導入するとしても、セキュリティの部分で妥協をしたような導入となり、企業での使用としては好ましくない。
IEEE 802.11iで規定されている方式以外で、セキュリティを確保する方法を求めたのが弊社で開発したIPN(Identified Private Network or Intelligent Packet Network)である。無線LANを対象としたIPN-WLANでは、負担の大きな認証サーバと認証局を運用する代わりに、ワンタイムパスワードを使ってピアツーピア(PtoP)の相互認証を実現する。
ワンタイムパスワード方式の主なものとして、S/Keyパスワード認証方式とIPN-WLANで採用されているSAS(Simple And Secure password authentication protocol)認証方式を紹介しよう。
1/3 |
 |
| Index | |
| セキュアな無線LANを構築する技術を求めて | |
 |
Page1 無線LANにおけるセキュリティ確保の難しさ |
| Page2 S/Keyパスワード認証方式 SAS認証方式 |
|
| Page3 SAS-2へのリプレイアタックを回避する IPN-WLANプロトコル |
|
| 関連記事 | |
| クライアントセキュリティチャンネル | |
| XP SP2環境下での安全な無線LAN環境構築 | |
| 無線LANの情報漏えいに注意せよ | |
| 無線LANは危なくて使えない? | |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
