「危険なのは無線LANを使う人」、ラック三輪氏がセキュリティ対策指南

2003/1/28

ラックのコンピュータセキュリティ研究所 常務取締役所長 三輪信雄氏

 ケーブル配線がなくなり、オフィスのどこからでもインターネットが利用できるようになる無線LAN。その導入企業が増えている。しかし、無線LANは電波を使うだけに傍受が容易で、セキュリティ上の問題も指摘されている。1月24日に情報処理振興事業協会(IPA)のイベントで講演したラックのコンピュータセキュリティ研究所 常務取締役所長 三輪信雄氏は無線LANについて、「企業情報が漏れる危険がある」などとして対策の必要性を指摘した。

 現在、無線LANの通信規格として最も広く使われているのが「IEEE802.11b」。11b規格にはいくつかのセキュリティ機能があるがそれほど有効に使われていない。「SSID」(Service Set Identification)は無線LANの基地局に名前をつけて識別する機能だが、簡単なツールで基地局を発見することができ、三輪氏は「セキュリティ上ほとんど意味なし」と指摘する。通信を暗号化する「WEP」(Wired Equivalent Privacy)は、無線LANのアクセスポイント側とクライアントPC側を別々に設定する必要がある。そのためクライアントPC数が多くなる企業では、設定に手間がかかり利用されていないケースが多いという。また、11bには、MACアドレスを登録して、無線LANに接続できるクライアントPCを指定する機能があるが、MACアドレスは別のPCが偽称することが可能で万全ではないという。

 無線LANにはこのようなセキュリティ上の問題があるにもかかわらず、危険性が認識されていないのが現状。ラックは昨年7月に霞ヶ関の官庁街で無線LANがどのように使われているかを調査。霞ヶ関で22のアクセスポイントを確認できたという。そのうち、WEPで通信を暗号化しているのは5のアクセスポイントだけで、危険な状態の無線LANが多かった。ラックの別の調査では、ある百貨店のPOSレジで、無線LANの通信が暗号化されないまま使われていて、クレジットカード番号などの重大な個人情報が現在も平文でやりとりされているという。

 では、無線LANの利用は危険なのか。三輪氏は「無線LANが危険なのではなく、無線LANを使う人が危険なのだ」と指摘する。無線LANも正しく運用すればセキュリティを高めることができるという。三輪氏は「WEPキーを128bitにすればおおむね問題はない」と説明。加えて「機密情報を扱っている部署などでは、認証機能を高めたIEEE802.1xなどの認証システムを導入すべきだ」と述べた。企業で定めるべきセキュリティポリシーの例としては、「組織を推測されないSSIDを使う、MACアドレスによるクライアントの制限を行う、128bit、16進法のWEPキーを使い、キーは定期的に変更する」などを挙げた。そして企業の態度としては、勝手にアクセスポイントをつなぐなど違反者に対しては「重大なセキュリティ侵害行為として処罰することが重要」と指摘した。

(垣内郁栄)

[関連リンク]
情報処理振興事業協会
ラック

[関連記事]
情報セキュリティに求められる3つの条件とは (@ITNews)
法人利用が急増、2003年はIP電話元年になるか (@ITNews)
シスコに唯一対抗できる無線LANベンダ、新製品を発売 (@ITNews)
「企業向けのPDAで先陣を切る」と、NECインフロンティア (@ITNews)
安さよりソリューション、NTT-MEの無線IP電話サービス (@ITNews)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)