分 冊 4 無 線 LAN 利 用 環 境 のための 運 用 上 の セキュリティ 対 策
目 次 1 無 線 LAN の 利 用 とリスク...1 1.1 企 業 における 現 状 と 動 向... 1 1.2 システム 概 要... 3 1.3 無 線 LAN の 規 格... 5 1.4 保 護 すべき 情 報 資 産... 7 1.5 脅 威 とリスク... 8 1.5.1 無 線 LAN 通 信 の 盗 聴...8 1.5.2 無 線 LAN への 不 正 アクセス...9 2 無 線 LAN におけるセキュリティ 対 策...11 2.1 技 術 的 な 対 策... 12 2.1.1 WEP 暗 号 の 設 定 ネットワーク...13 2.1.2 MAC アドレスフィルタリング ネットワーク...14 2.1.3 ESSID の ANY 接 続 拒 否 ネットワーク...14 2.1.4 ESSID のステルス 化 ネットワーク...14 2.1.5 IEEE802.1x 認 証 の 導 入 ネットワーク...15 2.1.6 IEEE802.11i(WPA2)の 導 入 ネットワーク...20 2.2 物 理 的 対 策... 22 2.2.1 電 波 遮 蔽 シートの 利 用...22 2.3 運 用 面 での 対 策... 23 2.3.1 無 線 LAN アクセスポイントの 定 期 的 なパスワード 変 更...23 2.3.2 無 線 LAN アクセスポイントのログ 収 集...23 2.3.3 無 線 LAN アクセスポイントの 配 置...23 3 用 語...25-1 -
1 無 線 LAN の 利 用 とリスク 1.1 企 業 における 現 状 と 動 向 無 線 LAN とは 有 線 LAN ケーブルを 使 わずに 電 波 や 赤 外 線 を 利 用 したネットワー クのことである 最 近 では 無 線 LAN 通 信 方 式 の 標 準 化 に 伴 い 無 線 LAN 機 器 の 低 価 格 化 や 無 線 LAN 機 能 を 標 準 装 備 しているハードウェアが 多 く 発 売 されている こ れまで 一 部 の 教 育 機 関 などにしか 使 われていなかった 無 線 LAN が 最 近 では 大 企 業 や 一 般 家 庭 においても 広 く 利 用 されるようになっている 警 察 庁 不 正 アクセス 行 為 対 策 等 の 実 態 調 査 によると 無 線 LAN を 導 入 している 事 業 体 は 平 成 17 年 度 で 4 割 を 超 えており 増 えつつあることがわかる( 図 表 1) 図 表 1 事 業 体 内 における 無 線 LAN の 利 用 状 況 ( 出 所 ) 警 察 庁 不 正 アクセス 行 為 対 策 等 の 実 態 調 査 ( 警 察 庁 平 成 18 年 1 月 ) 無 線 LAN 導 入 の 理 由 は どこからでもネットワークに 接 続 できることによる 物 理 的 な 制 約 からの 解 放 が 多 いことがわかる( 図 表 2) 有 線 LAN ケーブルの 敷 設 や 保 守 からも 解 放 されることから 管 理 者 としてのメリットも 大 きい しかしながら 有 線 LAN と 異 なり 無 線 LAN では 電 波 を 用 いていることから 有 線 LAN とは 異 なる 脅 威 が 存 在 する また その 対 策 が 不 完 全 である 場 合 に 起 こりうる 被 害 は 社 内 ネ 1
ットワークおよびイントラネットに 対 するものとなりうるため 甚 大 となることが 多 い 無 線 LAN を 安 全 に 安 心 して 利 用 するために 適 切 なセキュリティ 対 策 を 実 施 する ことが 重 要 である 図 表 2 無 線 LAN を 利 用 する 理 由 ( 出 所 ) 警 察 庁 不 正 アクセス 行 為 対 策 等 の 実 態 調 査 ( 警 察 庁 平 成 18 年 1 月 ) 2
1.2 システム 概 要 無 線 LAN 環 境 の 基 本 的 なシステム 構 成 を 図 表 3 に 示 す 図 表 3 無 線 LAN 環 境 のシステム 構 成 攻 撃 者 一 般 利 用 者 モバイル 端 末 VPN 機 器 Web サイト 公 衆 網 事 業 所 インターネット 無 線 通 信 有 線 通 信 DMZ ファイア ウォール DMZ 用 外 部 用 外 部 用 公 開 IDSセンサ メール DNS Web プロキシ VPN 機 器 RAS モデム ルーター/スイッチ ファイル 顧 客 情 報 DB 社 内 メール アンチウイルス ゲートウェイ コンテンツ フィルタリング 検 疫 認 証 社 内 用 IDSセンサ ファイア ウォール コアスイッチ 社 内 共 通 セグメント ルーター/スイッチ 通 信 事 業 者 の 閉 域 網 無 線 LAN アクセスポイント 無 線 LAN クライアント クライアントPC クライアントPC 本 社 事 業 所 ファイルは 便 宜 上 示 しているが 必 ずしも 無 線 LAN システムに 必 要 ではない (1) 無 線 LAN アクセスポイント 無 線 LAN アクセスポイントとは 無 線 電 波 によりデータを 送 受 信 し 無 線 LAN クライアントと 社 内 ネットワークを 接 続 する 中 継 器 である 現 在 は 有 線 LAN との 接 続 機 能 も 持 っている 機 器 が 主 流 である 3
(2) 無 線 LAN クライアント( 無 線 LAN 端 末 ) 無 線 LAN クライアントとは 無 線 電 波 によりデータを 送 受 信 する 機 能 を 持 った PC 端 末 等 をいう 企 業 における 無 線 LAN クライアントの 接 続 形 態 は 無 線 LAN ア クセスポイントを 経 由 してネットワークに 接 続 するインフラストラクチャモード (Infrastructure Mode)が 一 般 的 であるが 無 線 LAN クライアント 同 士 が 直 接 通 信 することもできる(アドホックモード(Adhoc Mode)) 現 在 では 様 々なタイプの 製 品 があり PC カードや USB ポートに 差 し 込 んで 使 用 するタイプや 最 近 では 端 末 自 体 に 無 線 LAN 機 能 が 内 蔵 されているノート PC もあ る 4
1.3 無 線 LAN の 規 格 無 線 LAN にはいくつかの 規 格 があり それらは IEEE( 米 国 電 気 電 子 学 会 )の 802 委 員 会 で 定 められている 2007 年 現 在 の 市 場 に 見 られる 無 線 LAN の 通 信 規 格 には 以 下 の 4 つがある IEEE802.11a IEEE802.11b IEEE802.11g IEEE802.11n 以 下 それぞれについて 説 明 する (1) IEEE802.11a 5.2GHz 帯 の 無 線 で 最 大 54Mbps の 通 信 を 行 なうことができる 転 送 速 度 で 見 ると IEEE 802.11b から 大 幅 に 高 速 化 されているが 障 害 物 があると 繋 がりにくいなど の 欠 点 がある また 移 動 体 衛 星 通 信 システムにも 利 用 されていることから 電 波 法 によって 屋 外 での 利 用 が 禁 止 されている (2) IEEE802.11b 2.4GHz 帯 の 無 線 で 最 大 11Mbps の 通 信 を 行 なうことができる 無 線 免 許 なしで 自 由 に 使 え 11Mbps の 速 度 で 50m~100m の 距 離 にある 端 末 間 で 通 信 を 行 なうことが できる 同 じ 2.4GHz 帯 の 電 波 を 使 う 医 療 用 機 器 や 電 子 レンジ Bluetooth 対 応 製 品 などが 近 くにあると 電 波 干 渉 が 発 生 し 通 信 速 度 が 低 下 することがある (3) IEEE802.11g IEEE802.11b の 上 位 規 格 として 策 定 され IEEE802.11b と 同 じ 2.4GHz 帯 を 利 用 しているが 最 大 通 信 速 度 は 11Mbps から 54Mbps に 高 速 化 されている IEEE802.11b と 同 様 他 の 電 波 を 発 する 機 器 からの 電 波 干 渉 を 受 ける 可 能 性 がある また IEEE802.11b に 対 する 上 位 互 換 性 を 持 っており 従 来 の IEEE802.11b 規 格 の 機 器 と 接 続 する 場 合 は IEEE802.11b モードで 動 作 するため 最 大 11Mbps での 通 信 が 可 能 である 5
(4) IEEE802.11n(2007 年 策 定 予 定 ) IEEE が 2007 年 後 半 策 定 予 定 の 無 線 LAN 規 格 の 一 つであり 実 効 速 度 100Mbps 以 上 IEEE802.11a や IEEE802.11g との 上 位 互 換 性 を 持 つことが 特 徴 である 高 速 化 に MIMO(Multiple-Input Multiple-Output)と 呼 ばれる 多 重 化 したデータを 複 数 の 送 信 アンテナと 受 信 アンテナによって 送 受 信 する 技 術 を 用 いている 2006 年 3 月 Draft Ver1.0 が 策 定 された 図 表 4 に 各 無 線 LAN 通 信 規 格 の 特 徴 を 示 す 図 表 4 無 線 LAN 通 信 規 格 の 特 徴 IEEE 802.11a IEEE 802.11b IEEE 802.11g IEEE 802.11n 使 用 周 波 数 帯 5.15~5.25GHz 2.4~2.472GHz 2.4~2.472GHz 20 また 40MHz 帯 伝 送 速 度 54/48/36/24 11/5.5/2/1 54/48/36/24 約 100Mbps (Mbps) /18/12/9/6 /18/12/9/6 チャンネル 数 4(4) 14(4) 13(3) 未 定 ( 同 時 ) 最 大 伝 送 距 離 約 90m 約 180m 約 180m 未 定 屋 外 利 用 不 可 可 可 未 定 特 徴 電 波 干 渉 に 強 導 入 コストが 安 伝 送 速 度 が 速 く 高 速 通 信 が 可 能 く 伝 送 速 度 も いが 伝 送 速 度 が 11b との 上 位 互 換 具 体 的 な 詳 細 は 速 いが 屋 外 使 遅 く 電 波 干 渉 も 可 能 11b と 比 未 定 用 が 不 可 を 受 けやすい べコストが 割 高 電 波 干 渉 を 受 け やすい 6
1.4 保 護 すべき 情 報 資 産 保 護 すべき 情 報 資 産 として 想 定 されるものを 例 示 する( 図 表 5,6) 図 表 5 保 護 すべき 情 報 資 産 攻 撃 者 一 般 利 用 者 モバイル 端 末 VPN 機 器 Web サイト 公 衆 網 事 業 所 インターネット 無 線 通 信 有 線 通 信 DMZ ファイア ウォール DMZ 用 外 部 用 外 部 用 公 開 IDSセンサ メール DNS Web プロキシ VPN 機 器 RAS モデム ルーター/スイッチ ファイル 顧 客 情 報 DB 社 内 メール アンチウイルス ゲートウェイ コンテンツ フィルタリング 検 疫 認 証 社 内 用 IDSセンサ ファイア ウォール コアスイッチ 社 内 共 通 セグメント ルーター/スイッチ 通 信 事 業 者 の 閉 域 網 無 線 LAN アクセスポイント 無 線 LAN クライアント クライアントPC クライアントPC 通 信 の 内 容 本 社 事 業 所 図 表 6 保 護 すべき 情 報 資 産 箇 所 情 報 資 産 無 線 通 信 通 信 の 内 容 機 密 情 報 や 個 人 情 報 など 企 業 における 情 報 資 産 を 含 んだものを 対 象 としている 7
1.5 脅 威 とリスク 1.5.1 無 線 LAN 通 信 の 盗 聴 概 要 無 線 LAN における 通 信 の 盗 聴 とは 悪 意 のある 第 三 者 が 無 線 電 波 を 故 意 に 傍 受 し その 通 信 内 容 を 盗 み 見 る 行 為 を 指 す 無 線 電 波 の 傍 受 そのものは パケットキャプ チャツールを 使 用 すれば 簡 単 に 行 うことができる 無 線 LAN の 電 波 は 使 用 してい る 規 格 にもよるが 約 100 メートル 程 度 まで 届 く 場 合 がある また 市 販 されてい るアンテナ 等 を 利 用 することで 300 から 400 メートル 離 れた 無 線 LAN の 通 信 内 容 を 盗 聴 することも 可 能 となる リスク 通 信 を 暗 号 化 していない 場 合 は 機 密 情 報 を 通 信 した 場 合 に 外 部 に 漏 洩 してしま うおそれがある この 脅 威 への 有 効 なセキュリティ 対 策 2.1.1 WEB 暗 号 の 設 定 ネットワーク 2.1.6 IEEE802.11i(WPA2)の 導 入 ネットワーク 2.2.1 電 波 遮 蔽 シートの 利 用 8
1.5.2 無 線 LAN への 不 正 アクセス 概 要 不 正 アクセス 行 為 については 不 正 アクセス 行 為 の 禁 止 等 に 関 する 法 律 に 定 義 された 不 正 アクセス 行 為 および 不 正 アクセスを 助 長 する 行 為 のことをいい 具 体 的 には 以 下 に 示 す 行 為 を 指 す コンピューターの OS やアプリケーションあるいはハードウェアに 存 在 する 脆 弱 性 (セキュリティホール)を 利 用 して コンピューターのアクセス 制 御 機 能 を 迂 回 し コンピューター 内 に 侵 入 する 行 為 ( 侵 入 行 為 ) 他 の 人 に 与 えられた 利 用 者 ID およびパスワードをその 持 ち 主 の 許 可 を 得 ず に 利 用 して 持 ち 主 に 提 供 されるべきサービスを 受 ける 行 為 (なりすまし 行 為 ) 持 ち 主 の 許 可 を 得 ずに その 持 ち 主 の 利 用 者 ID およびパスワードを 第 三 者 に 提 供 する 行 為 無 線 LAN を 設 置 した 際 には そのアクセスを 従 業 員 等 の 特 定 者 に 限 定 する 意 図 で あったにもかかわらず 攻 撃 者 が 無 線 LAN アクセスポイントを 通 じてネットワーク にアクセスする 場 合 がある この 行 為 は 通 常 は 不 正 アクセス 禁 止 法 に 規 定 され た 不 正 アクセスに 該 当 しないが ここでは それも 含 めて 広 義 の 不 正 アクセス と 呼 ぶ 無 線 LAN アクセスポイントと 無 線 LAN クライアントは 基 本 的 に 同 じ ESSID 1 と 呼 ばれる 識 別 子 が 設 定 されていなければ 接 続 できない 仕 組 みになっている ここで 無 線 LAN クライアント 側 で ESSID を ANY あるいは 空 欄 に 設 定 した 場 合 すべて の 無 線 LAN アクセスポイントと 通 信 することが 可 能 になる これは 無 線 LAN アク セスポイントから Beacon(ビーコン)と 呼 ばれるパケットデータを 周 囲 に 配 信 し ているためである この Beacon の 中 には ESSID が 含 まれており 攻 撃 者 はこの Beacon から ESSID の 値 を 読 み 取 ることで 不 正 アクセスを 行 うことが 可 能 となる リスク 不 正 アクセスを 許 し 社 内 の 無 線 LAN に 侵 入 されてしまった 場 合 攻 撃 者 の PC は 社 内 ネットワークに 接 続 されたクライアント PC と 全 く 同 じ 存 在 となる したがっ て 社 内 クライアント PC がアクセスできる 範 囲 のネットワークに 対 し 攻 撃 者 も 同 じくアクセスできることになるため 共 有 等 へのセキュリティ 対 策 が 脆 弱 である 場 合 は 機 密 情 報 を 盗 まれるなど 被 害 が 拡 大 するおそれがある 9
この 脅 威 への 有 効 なセキュリティ 対 策 2.1.2 MAC アドレスフィルタリング ネットワーク 2.1.3 ESSID の ANY 接 続 拒 否 ネットワーク 2.1.4 ESSID のステルス 化 ネットワーク 2.1.5 IEEE802.1x 認 証 の 導 入 ネットワーク 2.2.1 電 波 遮 蔽 シートの 利 用 10
2 無 線 LAN におけるセキュリティ 対 策 無 線 LAN を 利 用 する 場 合 において 適 切 なセキュリティ 設 定 を 行 わないまま 使 用 することは 通 信 の 盗 聴 や 不 正 な 利 用 による 重 大 なリスクを 招 くことになる ここでは 無 線 LAN に 対 して 施 すべきセキュリティ 対 策 を 示 す なお 警 察 庁 不 正 アクセス 行 為 対 策 等 の 実 態 調 査 の 報 告 によると 何 らかのセキュリティ 対 策 を 講 じている 企 業 が 増 えつつあることがわかる( 図 表 7) 図 表 7 事 業 体 内 無 線 LAN へのセキュリティ 対 策 ( 出 所 ) 警 察 庁 不 正 アクセス 行 為 対 策 等 の 実 態 調 査 ( 警 察 庁 平 成 18 年 1 月 ) 11
2.1 技 術 的 な 対 策 ここでは 無 線 LAN 環 境 を 運 用 する 上 での 脅 威 に 対 する 技 術 的 なセキュリティ 対 策 を 説 明 する( 図 表 8) ここに 登 場 するセキュリティ 対 策 は リスクに 応 じて 導 入 することが 望 ましい 図 表 8 無 線 LAN 環 境 における 技 術 的 なセキュリティ 対 策 攻 撃 者 一 般 利 用 者 モバイル 端 末 VPN 機 器 Web サイト 公 衆 網 事 業 所 インターネット DMZ ファイア ウォール DMZ 用 外 部 用 外 部 用 公 開 IDSセンサ メール DNS Web プロキシ VPN 機 器 RAS モデム ルーター/スイッチ ファイル 顧 客 情 報 DB 社 内 メール アンチウイルス ゲートウェイ コンテンツ フィルタリング 検 疫 認 証 社 内 用 IDSセンサ ファイア ウォール コアスイッチ 社 内 共 通 セグメント ルーター/スイッチ IEEE802.1x 認 証 の 導 入 通 信 事 業 者 の 閉 域 網 無 線 LAN アクセスポイント 無 線 LAN クライアント クライアントPC クライアントPC 本 社 事 業 所 WEP 暗 号 の 設 定 ESSIDのステルス 化 MACアドレスフィルタ リング ESSIDのANY 接 続 拒 否 WPAの 導 入 IEEE802.11i(WPA2) の 導 入 12
2.1.1 WEP 暗 号 の 設 定 ネットワーク この 対 策 により 防 ぐことができる 脅 威 1.5.1 無 線 LAN 通 信 の 盗 聴 WEP(Wired Equivalent Privacy)とは 無 線 通 信 における 暗 号 化 技 術 である 無 線 通 信 は 交 信 が 可 能 な 範 囲 内 であれば 屋 外 からでも 容 易 にアクセスできるため 送 信 されるパケットを 暗 号 化 して 内 容 を 知 られないようにする 必 要 がある ユーザー が 設 定 する 秘 密 鍵 と 製 品 内 部 で 決 める IV(Initialization Vector 初 期 化 ベク タ)とをあわせた 数 字 を 基 に RC4 と 呼 ばれる 暗 号 化 アルゴリズム 用 いて 擬 似 的 な 乱 数 列 を 作 り データをフレームごとに 暗 号 化 する( 図 表 9) WEP を 使 用 するには ユーザーが 設 定 した 秘 密 鍵 を 無 線 LAN クライアントと 無 線 LAN アクセスポイントの 双 方 に 設 定 する 必 要 がある 秘 密 鍵 の 長 さは 64bit と 128bit を 設 定 することができるが 128bit の 方 が 設 定 できる 文 字 列 が 長 くなるこ とから 64bit に 比 べ 秘 匿 性 が 向 上 する しかし 同 じ 秘 密 鍵 と 同 じ IV( 初 期 化 ベ クタ)を 使 った 複 数 のパケットを 集 めると 容 易 に 暗 号 が 解 読 されてしまうぜい 弱 性 が 見 つかり 現 在 では 必 ずしも WEP を 使 用 してさえいれば 128bit 鍵 長 であっても 安 全 だとは 言 えなくなっているため 運 用 の 際 には 定 期 的 に 秘 密 鍵 の 変 更 を 行 う 必 要 がある 図 表 9 WEP 暗 号 化 の 流 れ 無 線 LAN クライアント 無 線 LAN アクセスポイント 元 データ 暗 号 データ 暗 号 データ 元 データ + + WEPパスワード 24bit IV 24bit IV WEPパスワード 元 データの 暗 号 化 WEPパスワードと24bitのIVを 使 用 し RC4アルゴリズムを 利 用 して 暗 号 化 を 行 う 暗 号 データの 複 合 データに 付 いているIVとアクセスポイント 側 のIVを 照 合 し 完 全 性 を 確 認 24bitのIVとWEPパスワードを 使 用 し 複 合 処 理 を 行 う 13
2.1.2 MAC アドレスフィルタリング ネットワーク この 対 策 により 防 ぐことができる 脅 威 1.5.2 無 線 LAN への 不 正 アクセス MAC アドレスフィルタリングとは 無 線 LAN クライアントのネットワークインタ フェースが 持 つ MAC アドレスによってアクセスを 制 御 する 認 証 方 式 である 無 線 LAN アクセスポイント 側 で 登 録 された MAC アドレスを 持 つ 機 器 が 無 線 LAN アクセ スポイントへ 通 信 を 行 った 場 合 のみ 接 続 することができる 仮 に 登 録 されていな い MAC アドレスを 持 つ 無 線 LAN クライアントからアクセスがあった 場 合 は アクセ ス 拒 否 を 行 う 2.1.3 ESSID の ANY 接 続 拒 否 ネットワーク この 対 策 により 防 ぐことができる 脅 威 1.5.2 無 線 LAN への 不 正 アクセス ESSID の ANY 接 続 拒 否 とは 無 線 LAN アクセスポイントの 設 定 において ESSID が ANY や 空 欄 の 設 定 になっている 無 線 LAN クライアントを 拒 否 する 対 策 のことを いう この 対 策 により 不 特 定 多 数 の 無 線 LAN 端 末 からの 接 続 を 防 ぐことが 可 能 と なる 2.1.4 ESSID のステルス 化 ネットワーク この 対 策 により 防 ぐことができる 脅 威 1.5.2 無 線 LAN への 不 正 アクセス ESSID のステルス 化 とは 無 線 LAN アクセスポイントから 定 期 的 に 送 信 している Beacon 信 号 を 停 止 する 対 策 をいう 正 規 のユーザーは ESSID を 無 線 LAN アクセス ポイントからの 配 信 以 外 の 手 段 で 入 手 し 無 線 LAN クライアントに 設 定 する 必 要 が ある 14
2.1.5 IEEE802.1x 認 証 の 導 入 ネットワーク この 対 策 により 防 ぐことができる 脅 威 1.5.2 無 線 LAN への 不 正 アクセス IEEE802.1x 認 証 とは ユーザーを 認 証 してから ネットワークへの 接 続 を 許 可 するための 認 証 技 術 であり 有 線 LAN と 無 線 LAN のどちらでも 使 用 することができ る 図 表 10 に IEEE802.1x 認 証 の 概 要 を 示 す 必 要 な 機 器 としては IEEE802.1x に 対 応 した 無 線 LAN アクセスポイントと これとは 別 に 認 証 を 行 うための 認 証 サーバ ーが 必 要 となる 認 証 には RADIUS 2 が 利 用 されることが 多 い 無 線 LAN クライアント 側 には サプリカント と 呼 ばれる 専 用 のソフトウェアが 必 要 となるが Windows 2000 SP4 以 降 もしくは Windows XP や Windows Vista であれ ば 標 準 でインストールされている IEEE802.1x 認 証 では EAP(Extensible Authentication Protocol)が 用 いられる EAP とはダイヤルアップ 接 続 等 に 利 用 されている 認 証 プロトコルである PPP(Point to Point Protocol)を 拡 張 したも ので MD5 や 証 明 書 を 用 いた TLS などの 認 証 方 式 をサポートしている 図 表 10 IEEE802.1x 認 証 の 概 要 15
無 線 LAN クライアント (サプリカント) 無 線 LAN アクセスポイント 認 証 RADIUS 認 証 と 接 続 無 線 LANクライアントの 電 源 を 入 れ アクセスポイントを 経 由 し 認 証 に 認 証 方 式 の 通 知 を 受 け 取 る 認 証 開 始 要 求 認 証 開 始 を 転 送 認 証 開 始 を 受 け 認 証 から 認 証 方 式 を 通 知 EAPを 使 用 した 認 証 認 証 が 始 まると アクセスポイントはクライ アントから 受 け 取 った 内 容 を 認 証 に 送 る 中 継 装 置 としての 役 割 を 果 たす クライアントは 認 証 から 受 け 取 った 認 証 方 式 でとやり 取 りを 行 う EAPを 使 用 して から 通 知 された 認 証 方 式 での 通 信 通 信 の 回 数 は EAPの 種 類 に よって 異 なる 認 証 成 功 EAPでの 認 証 が 成 功 すると 認 証 はクライアントに 成 功 のパケットを 送 る 成 功 後 ポートが 開 き ネットワークに 接 続 することができる 認 証 成 功 パケットをクライアントに 送 付 認 証 装 置 のポートが 開 き ネットワークへの 接 続 が 可 能 ネットワーク 接 続 以 下 EAP として 広 く 使 われている EAP-TLS PEAP EAP-TTLS について 説 明 する (1) EAP-TLS(Extensible Authentication Protocol-Transport Layer Security) EAP-TLS では 認 証 (RADIUS )と 無 線 LAN クライアントの 両 方 に CA が 発 行 した 証 明 書 とクライアント 証 明 書 が 必 要 になる ユー ザー 名 とパスワードを 用 いる 認 証 方 式 と 比 較 して ユーザーだけでなく 利 用 端 末 ま で 特 定 できるのが 特 徴 である 証 明 書 には ユーザー 名 有 効 期 限 などの 属 性 情 報 と CA の 電 子 署 名 が 含 まれる この 証 明 書 を RADIUS と 無 線 LAN クライアントとの 間 で 交 換 し 電 子 署 名 が 正 しいものであると 検 証 された 後 に 相 互 を 信 頼 する 公 開 鍵 認 証 方 式 を 用 いているため セキュリティレベルが 高 いという 特 徴 がある (2) PEAP(Protected Extensible Authentication Protocol) PEAP とは 認 証 側 で 証 明 書 を 発 行 し またクライアント 側 では ID とパ スワードを 用 いることによって とクライアントで 相 互 認 証 を 行 う 認 証 方 16
式 である 暗 号 化 技 術 には WEP が 用 いられており 定 期 的 に WEP 暗 号 文 の 生 成 配 布 が 行 われることによって WEP 暗 号 のセキュリティの 向 上 が 図 られている EAP-TLS と 比 較 するとセキュリティレベルは 若 干 落 ちるが クライアント 側 で 証 明 書 管 理 の 必 要 がないため 管 理 が 容 易 になる (3) EAP-TTLS(Extensible Authentication Protocol-Tunneled Transport Layer Security) EAP-TTLS とは 暗 号 化 によって 保 護 された ID とパスワードを 用 いた 認 証 方 式 で ある EAP-TLS が クライアントとの 間 で 相 互 に 証 明 書 を 交 換 することで 相 互 認 証 を 行 う 認 証 方 式 であるのに 対 し EAP-TTLS では クライアント 側 は 証 明 書 を 発 行 せず その 代 わりにユーザー 名 とパスワードを 用 いて 認 証 を 行 う その 際 鍵 暗 号 を 用 いて 通 信 を 暗 号 化 することによって 盗 聴 による 情 報 漏 洩 の 危 険 性 を 抑 えている EAP-TTLS は EAP-TLS に 劣 らないセキュリティ 性 を 保 ちながら 個 々の コンピュータに 依 存 せずどこからでもユーザー 認 証 を 行 うことができるというメ リットがあるが 専 用 のサプリカントをクライアント 側 に 入 れる 必 要 がある 前 ページまでに 一 般 的 な 認 証 方 法 として EAP-TLS PEAP EAP-TTLS を 挙 げた が それ 以 外 には EAP-MD5 LEAP などの 認 証 方 式 がある 図 表 11 にそれらを 含 めた 認 証 方 式 の 特 徴 をまとめた 17
認 証 方 式 証 明 書 図 表 11 認 証 方 式 の 特 徴 サプリカント 相 互 認 証 特 徴 クライ アント EAP-TLS Windows200 0SP4 以 降 PEAP Windows200 0SP4 以 降 EAP-TTLS 要 インストー ル EAP-MD5 Windows200 0SP4 以 降 LEAP Cisco 製 品 に 添 付 証 明 書 証 明 書 および ID/ パスワー ド 証 明 書 および ID/ パスワー ド CHAP による チャレンジ/ レスポンス ID/ パスワー ド セキュリティレベル: 高 証 明 書 の 管 理 がクライアント 側 でも 必 要 となる 証 明 書 は USB メモリや IC カードでの 管 理 が 推 奨 される セキュリティレベル: 中 EAP-TLS と 比 較 するとセキュリ ティレベルは 若 干 落 ちるが クラ イアント 側 で 証 明 書 を 管 理 する 必 要 がないため 管 理 が 容 易 セキュリティレベル: 中 EAP-TLS と 比 較 するとセキュリ ティレベルは 若 干 落 ちるが クラ イアント PC 側 に 証 明 書 を 導 入 する 必 要 がなく 管 理 は 容 易 ただ し EAP-TTLS に 対 応 している OS がないため 専 用 サプリカン トをインストールする 必 要 があ る CHAP を 使 うため サーバ 側 か らクライアントへの 一 方 向 の 認 証 であり 他 の EAP の 認 証 方 式 と 比 べるとセキュリティ 強 度 が 劣 る 証 明 書 を 使 用 しないため 管 理 は 容 易 Cisco 製 品 のみで 使 用 する ため 機 器 をそろえる 必 要 があ る 18
2.1.6 WPA の 導 入 ネットワーク この 対 策 により 防 ぐことができる 脅 威 1.5.1 無 線 LAN 通 信 の 盗 聴 2.1.1 で 述 べた WEP は いくつかのセキュリティ 面 での 脆 弱 性 が 懸 念 されていた おり WEP に 代 わる 規 格 として 登 場 したのが WPA(Wi-Fi Protected Access)であ る WEP では 無 線 LAN クライアントと 無 線 LAN アクセスポイントが 共 通 の 暗 号 鍵 を 長 期 間 にわたって 用 いていたため 暗 号 鍵 が 解 読 される 可 能 性 があった 一 方 WPA では TKIP(Temporal Key Integrity Protocol)と 呼 ばれる 暗 号 鍵 を 一 定 の 時 間 ごとに 自 動 的 に 変 更 するという 技 術 を 用 いるなどの 改 良 がなされている( 図 表 12) 図 表 12 WPA 暗 号 化 の 流 れ 無 線 LAN クライアント 無 線 LAN アクセスポイント 元 データ 暗 号 データ 暗 号 データ 元 データ + + + + WEPキー MACアドレス 24bit IV 24bit IV クライアントの MACアドレス WEPキー 一 定 期 間 で 暗 号 化 プロセスを 変 更 する 元 データの 暗 号 化 WEPパスワード 24bitのIV MACアドレスのハッシュ 値 を 使 用 し 暗 号 化 を 行 う また 暗 号 化 のために 必 要 な 鍵 は 定 期 的 ( 一 定 期 間 または 一 定 パケットの 送 受 信 )に 変 更 される 19
2.1.7 IEEE802.11i(WPA2)の 導 入 ネットワーク この 対 策 により 防 ぐことができる 脅 威 1.5.1 無 線 LAN 通 信 の 盗 聴 IEEE802.11i は 2004 年 7 月 に 制 定 された 無 線 LAN におけるセキュリティ 標 準 を 定 める 規 格 である 先 に 挙 げた WPA は IEEE802.11i に 採 用 される 予 定 であった 暗 号 化 規 格 の 一 部 である IEEE802.11i 制 定 後 Wi-Fi Alliance はさらにセキュリティ を 高 めた WPA2 という WPA の 改 良 規 格 を 発 表 した WPA2 では AES 3 が 暗 号 化 アルゴ リズムとして 用 いられている 今 後 導 入 する 場 合 は WPA2 に 対 応 した 無 線 LAN ア クセスポイントを 購 入 し WPA2 を 利 用 することが 望 ましい WPA との 違 いを 以 下 に 示 す (1) 暗 号 化 方 式 WPA が 採 用 している RC4 方 式 は 1bit ごとに 暗 号 化 を 行 うストリーム 方 式 である のに 対 して WPA2 が 採 用 している AES は 128/192/256bit の 鍵 長 をサポートするブ ロック 暗 号 方 式 である (2) 改 ざん 検 出 機 構 データの 完 全 性 を 確 保 するために 従 来 使 用 していた ICV,MIC 方 式 ではなく AES を 用 いた CCM 方 式 を 用 いている これにより 順 番 が 誤 って 送 信 されたパケットは 無 線 LAN アクセスポイント 側 で 破 棄 される 図 表 13 に WEP WPA WPA2 の 比 較 を 示 す 図 表 13 無 線 LAN で 用 いられる 暗 号 の 比 較 WEP WPA WPA2 暗 号 鍵 の 長 さ 64/128 128 128/192/256 IV の 長 さ 24 48 48 暗 号 化 アルゴリズム RC4 RC4 AES 改 ざん 検 出 ICV MIC CCM セキュリティレベル 低 い やや 高 い 高 い 20
21
2.2 物 理 的 対 策 2.2.1 電 波 遮 蔽 シートの 利 用 この 対 策 により 防 ぐことができる 脅 威 1.5.1 無 線 LAN 通 信 の 盗 聴 1.5.2 無 線 LAN への 不 正 アクセス 無 線 LAN アクセスポイントや 無 線 LAN クライアントに 対 しセキュリティ 対 策 を 施 したとしても 空 間 を 行 き 交 う 電 波 そのものを 制 限 することはできない これは 有 線 にはない 無 線 特 有 のものであり 社 外 に 漏 れた 電 波 を 通 じて 盗 聴 あるいは 社 内 ネットワークに 侵 入 されるおそれがある そのため 導 入 を 躊 躇 している 企 業 も 多 い 利 用 中 の 無 線 LAN が 使 用 している 電 波 が 社 外 に 漏 れることを 防 ぐための 対 策 と して 電 波 遮 蔽 シートがあげられる( 図 表 14) 電 波 遮 蔽 シートとは アルミニウ ムや 鉄 などの 導 電 体 をシート 状 にしたもので 特 に 窓 などの 電 波 を 遮 蔽 する 能 力 に 欠 ける 箇 所 に 対 して 設 置 することが 多 い 電 波 遮 蔽 シートを 利 用 することにより 手 軽 に 窓 や 壁 天 井 などに 対 し 電 波 の 漏 洩 対 策 を 実 施 することができる また 遮 蔽 する 周 波 数 帯 域 を 選 定 できるものもあり 無 線 LAN に 利 用 される 周 波 数 帯 のみを 遮 蔽 し 携 帯 電 話 や PHS などのモバイル 端 末 の 電 波 やテレビ 電 波 を 通 すことができ る 製 品 もあるため 利 用 する 環 境 における 条 件 に 応 じて 製 品 を 選 択 することが 重 要 である 図 表 14 窓 に 貼 ることができる 電 波 遮 蔽 シートの 例 ( 出 所 ) 鹿 島 建 設 株 式 会 社 資 料 22
2.3 運 用 面 での 対 策 無 線 LAN アクセスポイントや 無 線 LAN クライアントを 安 全 に かつ 効 率 よく 運 用 していくためには 技 術 的 な 対 策 だけではなく 運 用 による 対 策 も 不 可 欠 である 運 用 面 での 対 策 として 代 表 的 なものを 紹 介 する 2.3.1 無 線 LAN アクセスポイントの 定 期 的 なパスワード 変 更 管 理 者 は 無 線 LAN アクセスポイントにログインした 後 ユーザー 管 理 や 接 続 許 可 クライアントなどの 様 々な 設 定 を 行 う 悪 意 のある 第 三 者 からの 不 正 アクセスに 備 え 管 理 者 のパスワードを 推 測 されにくいパスワード(アルファベットの 大 文 字 / 小 文 字 および 数 字 の 組 み 合 わせ)に 設 定 し かつ 定 期 的 にパスワード 変 更 を 行 うことが 望 ましい 2.3.2 無 線 LAN アクセスポイントのログ 収 集 現 在 の 無 線 LAN アクセスポイントにはログを 収 集 する 機 能 を 持 つ 製 品 も 多 く 存 在 する 不 正 なアクセスを 試 みる 無 線 LAN クライアントの 早 期 検 知 や 事 故 後 の 追 跡 のためにもアクセスログを 取 得 することが 望 まれる また ログの 転 送 機 能 を 持 った 無 線 LAN アクセスポイントの 場 合 は リアルタイムにログを 転 送 するなどの 設 定 を 行 うことが 推 奨 される なお 承 認 されていない 無 線 LAN クライアントが 無 線 LAN アクセスポイントのそ ばを 通 過 するだけで 自 動 的 に 接 続 を 試 みるため 認 証 に 失 敗 したアクセスの 全 てが 不 正 とは 限 らない 2.3.3 無 線 LAN アクセスポイントの 配 置 同 一 スペース 内 に 複 数 の 無 線 LAN アクセスポイントを 設 置 した 場 合 電 波 干 渉 を 起 こす 可 能 性 がある 電 波 状 況 は 設 置 されている 机 キャビネット パーティ ションの 有 無 天 井 の 素 材 などによって 変 化 するからである 以 下 に 紹 介 する 機 能 やツールを 利 用 することにより 電 波 干 渉 を 防 ぎ 効 率 よく 無 線 LAN アクセスポイントの 設 置 または 管 理 を 行 うことが 可 能 である 23
(1) サイト サーベイ ツール サイト サーベイ ツールとは アクセスポイントを 設 置 したいフロアの 広 さや 通 信 レートなどの 基 本 的 な 情 報 を 入 力 するだけで 設 置 イメージを 表 示 するツール である 表 示 されたイメージに 従 って アクセスポイントの 設 置 を 行 えば 良 い (2) キャリブレーション 機 能 キャリブレーション 機 能 とは 無 線 LAN アクセスポイントが 持 つ 機 能 で 複 数 設 置 されたアクセスポイント 同 士 が お 互 いに 電 波 を 送 受 信 し 他 の 無 線 LAN アクセ スポイントとの 位 置 関 係 や 距 離 を 検 知 し 送 信 出 力 などを 自 動 的 に 調 整 する 機 能 である (3) 集 中 管 理 ソフトウェア 集 中 管 理 ソフトウェアとは 1 台 のコンソール 上 で 複 数 の 無 線 LAN アクセスポイ ントの 使 用 状 況 ファームウェアの 更 新 また 無 線 LAN アクセスポイントに 接 続 されている 無 線 LAN クライアントなどの 表 示 を 行 うことができるソフトウェアで ある 24
3 用 語 1. ESSID Extended Service Set Identifier の 略 無 線 LAN におけるネットワー ク 識 別 子 の 一 つ 混 信 を 避 けるために 使 用 するネットワーク 名 としての 役 割 を 果 たす ESSID を 用 いることにより 正 規 のユーザーが 意 図 し ないネットワークに 接 続 しないようにすることと 同 時 に ある 程 度 の 使 用 者 を 制 限 することができる SSID(Service Set Identifier)とも 呼 ばれる 2. RADIUS Remote Authentication Dial-In User Service の 略 ネットワーク 利 用 者 の 認 証 と 利 用 記 録 を ネットワーク 上 の 認 証 に 一 元 化 する ことを 目 的 としたプロトコルである 認 証 に 収 容 されたユーザ ー 情 報 に 基 づいて 接 続 の 許 可 / 不 許 可 を 判 断 し 接 続 の 記 録 を 取 るのが 主 な 役 割 である 元 々は 名 前 にもあるように ダイヤルアップネット ワーク 接 続 を 実 現 することを 目 的 として 開 発 されたが 無 線 LAN サー ビスなどでも 広 く 利 用 されている 3. AES Advanced Encryption Standard の 略 従 来 の 標 準 暗 号 として 1977 年 か ら 使 用 されていた DES が コンピュータの 高 性 能 化 や 暗 号 理 論 の 発 展 化 に 伴 い 信 頼 性 が 低 下 してきたため 公 募 方 式 によって 新 たに 選 定 され た 米 国 政 府 標 準 暗 号 であり ISO/IEC 18033-3 ブロック 暗 号 の 一 つとし て 採 用 されている DES では 暗 号 鍵 が 56 ビットであることに 対 し AES では 128 192 256 ビットの 長 さから 選 択 する 25