ソリトンシステムズ ITセキュリティ事業部 プロダクト部 プロダクトマネージャ 宮﨑 洋二 氏

ソリトンシステムズ
ITセキュリティ事業部
プロダクト部
プロダクトマネージャ

宮﨑 洋二

ここ数年で、無線LANは企業ネットワークで当然のように利用されるようになった。しかし、身近な存在となった無線LANは、その便利さの半面、さまざまなセキュリティ上の問題を企業にもたらしているようだ。無線LANを導入する企業はこの誤解を認識し、適切なセキュリティ対策を講じなければならないという──。

誤解1:無線LANは5年前から変わらない?

 「無線LANにまつわる誤解にハマってしまうと、広範囲(顧客や取引先)に不幸を振りまきかねません」

 登壇したソリトンシステムズの宮﨑氏は、セッションの冒頭にこのように語り、無線LANに関して誤解されがちな3つのポイントについて説明。

 1つ目は「無線LANは昔と変わっていない」という誤解だ。

 この点について宮﨑氏は、無線LANは「確かに技術的には大きくは変わっていない」ものの、「期待されている働きと実際に使う人の意識の変化を理解する必要がある」と指摘する。

 働き方改革の実現のために、スマホやタブレット、ノートPCなどのモバイルデバイスの導入を進める企業が増えている。これらモバイルデバイスはネットワーク通信により真価を発揮するが、薄型軽量化を実現するために有線LANのコネクターがないものが多い。今後企業でメインに使われていく端末では、無線LANが必要不可欠なのである。

 実際、これらの端末の普及に合わせて無線LAN環境も急速に整備されているが、その重要性が増せば増すほど「無線LANは水道や電気と同じ必須インフラ化し、ユーザーはその存在や安全性に意識を向けなくなっていく」と宮﨑氏は語る。

 その一方、無線LANは技術的には以前と大きくは変わらないだけあって、無線LAN特有の課題が一気に解決したわけではない。利用者の自衛を期待ができない現状では、提供者の責任が今まで以上に重くなるのだ。

 「無線LANは電波です。電波は、通信すれば外に漏れます。盗聴や不正侵入のリスクがあるのは当然です。無線LANに対し、企業は社員の危機管理意識を過信せず、適切な対策を講じなければならないのです」(宮﨑氏)

誤解2:個人と法人向けアクセスポイントの違いは処理性能?

 2つ目の誤解は「個人向けと法人向けがあるアクセスポイントの違いが、処理性能やセキュリティ性能の違い」だと思われていること。

 宮﨑氏曰く「(個人向け、法人向けの)どちらも、スペックシートを見比べた場合には、通信速度も、暗号技術も、識別認証方式も変わらないように映る」という。このため、業務に利用するインフラであるにも関わらず、誤って個人向けアクセスポイントを導入してしまうケースがあるという。

 注目されることが少ないが、法人向けアクセスポイントの最大の特徴は「運用」機能であり、それは外部の認証サーバーとの連携機能がカギとなる。この機能があるからこそ、企業インフラにとって“当たり前”の、ネットワークの無停止運転が実現できるのだという。

 まず、個人向けアクセスポイントについて見てみよう。認証サーバーとの連携機能をもたないため認証には事前共有鍵(PSK)を用いることになる。この環境では、全ての端末とアクセスポイントが同じ鍵(接続するための文字列)を共有することになるが、運用中に問題が生じる。例えば盗難や紛失などによって特定端末からの接続を拒否したい状況に陥った際には、アクセスポイント側に新しい鍵を設定することになる。そうなると他の端末でも新しいものに再設定しなければならないし、設定変更が完了するまでの間、ネットワークが利用できない。盗難、紛失以外にも、組織移動、定期変更などでも発生し、そのたびにネットワーク停止と大規模な設定作業に悩まされ続けることになるだろう。

 一方、法人向けアクセスポイントを採用した環境では、外部の認証サーバーと連携する。認証情報はユーザーまたは端末ごとに設定した個別認証を行うため、例えば1台の端末にトラブルがあってもその端末だけを除外できる。

 つまり、認証サーバーと連携すれば「ネットワークを停止させず、メンテナンスも容易な環境」を構築できるのだ。

 あわせて「認証サーバーではさまざまな認証方式に対応しますが、デジタル証明書の利用をおすすめします」と宮﨑氏は付け加える。

 それは、IDとパスワードによる従来の認証では、個別認証を実現できたとしても従業員が持ち込んだデバイスの利用を制限できず、いわゆる「シャドーIT」に起因するセキュリティリスクを排除できないからだという。業務端末で入力しているパスワードは、私物のスマートフォンにも入力できてしまうのだ。その点、デジタル証明書なら、ユーザーごとでなく、端末ごとの認証を実現できるため、その心配がないのである。

誤解3:MACアドレス認証で不正アクセスを防止できる

 3つめの誤解は「(完璧でないにしても)MACアドレス認証を使えばセキュリティは向上する」というもの。

 無線LANのセキュリティ対策として、特定のMACアドレスからの接続だけを許可する「MACアドレスフィルタリング機能」を使うユーザーが多いが、この方法はセキュリティ対策としての有効性は乏しいという。

 「確かに、無線のパケットは暗号化されていますが、MACアドレス情報は対象外です。そもそもMACアドレスは通信するための情報です。仮に暗号化されたとすれば、通信は届かず戻ってもきません」(宮﨑氏)

 さらにMACアドレスの書き換え方法はWeb上で入手でき、誰でもMACアドレスを変更できる。有効なMACアドレスを取得し、手元の端末にセットすることは簡単なのだ。

 「MACアドレスフィルタリングは悪意ある攻撃者に対して有効性が乏しく、割に合いません」(宮﨑氏)

 以上のように無線LANにまつわる3つの誤解を説明し終えた宮﨑氏は「法人向けのアクセスポイントと認証サーバーを利用し、その認証にはデジタル証明書を活用すること」が、企業が無線LANを利用するための最低限の条件だとあらためて強調。

デジタル証明書による安心安全の無線LAN 「NettAttest EPS」なら、デジタル証明書によって、利用者にも管理者にも手間なく最高レベルの安全性を確保

デジタル証明書による安心安全の無線LAN

「NettAttest EPS」なら、デジタル証明書によって、利用者にも管理者にも手間なく最高レベルの安全性を確保

画像を拡大する

 しかし、アクセスポイントは法人向けのものを購入すれば事足りるものの、認証サーバーの導入や運用は、労力やコスト、さらには専門的な知識が必要で、数多くの企業にとってはなかなかハードルが高いという現実が残る。

あるべき無線LAN環境を簡単に構築する方法とは?

 本セッションでは、そのような企業の悩みを解決するソリューションについても言及。

 ソリトンシステムズの「NetAttest EPS」は、認証サーバーとしての機能はもちろん、デジタル証明書の発行機能など、ネットワーク認証に必要な機能を一台にまとめたアプライアンス。誰でも簡単かつ短期間に高度かつセキュアなネットワーク環境の構築・運用ができるという。デジタル証明書の発行も「管理者側でユーザーを登録し、発行したら各ユーザー側でボタンを押すだけでOK」という手軽さだ。

企業ネットワークの認証を統合 ID/パスワードによる単純な認証から、電子証明書やワンタイムパスワードを用いた高度な認証までを、オールインワンで提供

企業ネットワークの認証を統合

ID/パスワードによる単純な認証から、電子証明書やワンタイムパスワードを用いた高度な認証までを、オールインワンで提供

画像を拡大する

 また、大量の端末に効率よくデジタル証明書を発行するソリューションも用意されており、安定かつ長期的な運用に貢献する機能が充実しているのも、導入企業にとってはありがたい。

 セッションの最後に、宮﨑氏は「今、無線LANは当たり前になりました。そして、その無線LANにつなぐ人は安全、安心を当然のものとして認識してしまっています。無線LANは認証サーバーを含めてインフラですので、信頼と安心がとても大事です。無線LANを利用される際には、信頼と安心にこだわっている『NetAttest EPS』という製品を候補として入れていただければ幸いです」と語り、講演を締めた。

このページのトップに戻る