法人用の無線LANセキュリティで押さえておくべきポイント
無線LANは、近代化した現代社会において必要不可欠な存在です。
とくに、規模を問わず企業内で無線LANを設けておけば、大幅に業務効率向上が期待できるでしょう。
一方で、有線ではない分、セキュリティに注意を払わなければ、大規模な損害につながりかねません。
今回は、法人用の無線LANセキュリティにおける押さえておくべきポイントを解説いたします。
目次
無線LANに最適な暗号化方式「WPA2」の採用
アクセスポイントを設置し、無線LANで接続する際には、通信の暗号化は必須です。通信を暗号化することで、傍受を防ぎます。
通信の暗号化にはいくつかの種類がありますが、WPA2の採用がもっとも推奨されています。WPA2とは、前身であるWPA(Wi-Fi Protected Access)をバージョンアップさせたものです。
より強力な暗号化アルゴリズムであるAES(Advanced Encryption Standard)が採用されています。米国標準技術局は、今後30年以上にわたり強力で有効な暗号として見込める技術を選定するために、公募を行いました。審査の結果、選定されたのがAESです。128~256ビットにわたる可変長鍵を使用することで、通信を強固に暗号化します。
WPA2には、狭い範囲でのネットワークに適したWPA2-PSKと、広範囲での利用に適したWPA2-EAPの2種類があります。
WPA2の脆弱性を防ぐために行いたい3つのポイント
いくら強力な暗号化といっても、脆弱性がまったくないわけではありません。
どんなデータにも脆弱性が見つかる恐れは常につきまといます。脆弱性を防ぐために、以下の3つのポイントを押さえておきましょう。
ルーターからの電波強度を制限することにより、ネットワークに接続できる範囲を物理的に狭められます。
悪意を持った人物に届かないように、ネットワークを狭めましょう。また、ファームウェアを常に最新のものにバージョンアップすることも非常に重要です。
ネットワークシステムを開発する企業から、システムの脆弱性の問題を解消するプログラムがリリースされている場合があります。システムのバージョンアップには、機能面のほかにセキュリティ対策の意味も大きいのです。
こまめにチェックし、社内のネットワークを常に最新の状態にするよう心がけましょう。
また、場合によっては有線LANの採用を検討するのもひとつの手段です。無線LANで起こりうるリスクをすべてシャットアウトできます。
採用は避けたいかつての主流「WEP」について
かつて採用されていた暗号化方式として、WEPが挙げられます。
WEPは、40ビットあるいは104ビットの共通鍵および暗号化アルゴリズム「RC4」によって暗号化する方式です。
RC4とは、共通鍵と共通鍵によって作成される24ビットの乱数であるIV(Initialization Vector)を付与して秘密鍵が作られます。
IVは、常に決められた共通鍵から作成されるため、40ビット程度の共通鍵では総当たりで解かれてしまう恐れがあります。
現代では、WEPの解読ツールが存在し、有効性はすでにないといえるでしょう。規模に関わらず、無線LANの暗号化方式はWPA2を採用するべきです。
推奨された接続認証セキュリティ「EAP(802.1X)」の採用
法人用として無線LANのアクセスポイントを設置する際、セキュティ対策として接続認証セキュリティを設定します。
誰でも接続できる状態にしてはいけません。接続認証セキュリティにはいくつかの種類がありますが、法人用として設定する場合は、EAP(802.1X)がおすすめです。
EAP(802.1X)とは、家庭や小規模企業など、狭い範囲のネットワークで有効だとされている認証方式です。20~63文字の事前共有鍵を、クライアント端末およびネットワーク機器であらかじめ設定し、双方で共有することで認証が行われます。
クライアント端末とネットワーク機器を1対1で結ぶPPP(Point-to-Point Protocol)を拡張した方式です。
クライアントと認証を行うサーバーであるRADIUSサーバーを先に認証し、完了したら直ちに通信を始めます。
EAPにはいくつかの種類がありますが、多くの場合PKI(公開鍵認証鍵盤)が採用されています。
部署ごとにネットワークを分離することでセキュリティの向上が図れる
複数の部署が存在する場合には、それぞれでネットワークを分けておくべきでしょう。社内でひとつのネットワークを統一していると、ほかの部署にまでファイルが勝手に見られる状態となってしまいます。
部署ごとにネットワークを分離することで住み分けが可能です。
広範囲でひとつのネットワークに接続できるのは、リスクが高い状況です。
社内に悪意を持った人がいないとも限りません。複数のネットワークを設定する場合は、最適な無線アクセスポイントを採用しましょう。
無闇にネットワークを乱立すると、通信が混雑し通信速度が低下する恐れがあります。複数のSSIDを設定できるアクセスポイントを利用すれば、通信の混雑を回避できるでしょう。
当然、来客用のアクセスポイントを設定する場合も同様です。
来客用にネットワークを作成し、外部の人間にデータが見られるリスクを回避しましょう。
セキュリティ対策を徹底していない場合に起こりうるリスク
セキュリティ対策を怠ってしまうと、情報漏洩など深刻なリスクにさらされてしまいます。重大なリスクとして以下の2つが挙げられます。
悪意を持った第三者による不正アクセス
無線LANは有線ではないため、電波の届く範囲であれば誰でも接続できてしまいます。
当然、誰でもアクセスポイントに接続できないように認証機能を設定しますが、認証できる手段を持っていると簡単にアクセスを許してしまいます。
暗号化が緩いものであったり、ネットワークの脆弱性をつかれてしまったり、不正アクセスのリスクは常につきまといます。
また、社内にも悪意を持った人間がいないとは限りません。たとえば、退職した人物が前職の競合会社に再就職したとしましょう。
競合会社としては、ライバルよりも先に立ち回りたいと考えます。そこで、その退職した人物が、前職のネットワークにアクセスし、進めているプロジェクトや新商品の情報を盗み取ってしまったらどうなるでしょうか。
結果、競合会社はライバルである前職の会社が出したかった商品を、先に展開できてしまうのです。
このような不正アクセスを防ぐためには、社員が退職した際にパスワードを一新するとよいでしょう。
無線LANを利用する際は徹底したセキュリティ対策が必要不可欠
無線LANは、非常に便利なものです。有線LANの場合、配線の都合があったり場所に縛られてしまったりと、不便が目立ちます。
一方で無線LANであれば、場所を問わずに業務に向き合えるようになるなど、採用することで得られるメリットは非常に大きいといえるでしょう。
一方で、誰でもアクセスできるということは、誰でも不正アクセスできることにほかなりません。セキュリティ対策を見直し、常に万全な体制を心がけましょう。