ここから本文です。
無線LAN(Wi-Fi)のセキュリティ対策とは?暗号化や認証方式なども解説
- そもそも無線LANやWi-Fiとは
- 企業において無線LANのセキュリティ対策が重要な理由
- セキュリティ対策のない無線LANの危険性
- 無線LANのセキュリティに関する基礎知識 「暗号化」 と 「認証」
- 行うべき無線LANのセキュリティ対策
- 最新のセキュリティ規格を使用する
- SSIDを外部からわかりにくくする
- SSIDのステルス機能を利用
- 初期設定のID・パスワードは必ず変更する
- ファームウェアは常に最新版に
- 来客用の無線LAN接続環境の構築
- 物理的な対策も有効
- MACアドレス認証を利用する
- 無線LANのセキュリティ対策の注意点
- ログは可能なだけ収集しておく
- SSL/TLSを過信しない
- 公共の場ではファイル共有機能を解除する
- 有線LANも活用
- ステルス機能を過信しない
- アクセスポイントを自分で設置する場合は暗号化方式を適切に設定する
- 無線LANセキュリティに関する疑問は”パナソニックEWネットワークス”へ
- 無線LANセキュリティは環境整備の第一歩
ネットワークシステム、入退室管理システム、カメラシステム構築に関するお問い合わせはこちら
そもそも無線LANやWi-Fiとは
ノートパソコンやスマートフォンからインターネットに接続してWebサイトを閲覧したり、メールを確認する際に、無線LAN、あるいはWi-Fiを利用することはもう当たり前のものになってきました。オフィスや自宅だけでなく、喫茶店や商業施設、ホテルのロビー、さらには駅やバスの中などでも「Wi−Fi」の文字を目にします。
では、そもそも「無線LAN」や「Wi-Fi」とは何でしょうか。
無線LAN
LANは「ローカル・エリア・ネットワーク(Local Area Network)」の頭文字です。インターネットは、国と国をつなぐネットワークから、会社や自宅のネットワークまで、さまざまな規模のネットワークの集合体で、LANは、その最小単位となるネットワークです。最小単位のネットワークを、無線を使って構築したものが無線LANです。
自宅や会社からインターネットにアクセスするときは、自宅のLAN、あるいは会社のLANに接続し、そこからインターネットにアクセスしています。外出先のカフェの無線LANからインターネットにアクセスするときは、一時的にカフェのLANに加わってインターネットにアクセスしています。
Wi-Fi
Wi-Fi Allianceという業界団体の登録商標です。無線LANが登場した当時、メーカが違うと接続できなかったり、同じメーカでも製品が違うと接続できないなどの問題があり、普及の妨げとなっていました。そこで業界団体が設立され、メーカ間の相互接続が認められた製品に「Wi-Fi」のロゴがつけられるようになりました。
つまり、無線LANはネットワークのひとつの形態を表す普通名詞で、Wi-Fiは無線LAN製品の業界団体の商標・ロゴですが、今では「無線LAN=Wi−Fi」という認識になっています。
無線LANと有線LANの違いとは
無線LANは、無線を使ったLAN(ローカル・エリア・ネットワーク=オフィスなどの限られたエリアで使用するネットワーク)のことで、有線LANは有線(ケーブル)を使ったLANのことです。無線かケーブルかで物理的に大きく異なりますが、ユーザの使い勝手も大きく異なります。無線LANは無線が届く範囲なら、どこでも利用できますが、有線LANはケーブルがなければ使えません。一方、無線LANは周囲の環境によっては不安定になることがありますが、有線LANはより安定しています。
企業において無線LANのセキュリティ対策が重要な理由
サイバー攻撃による社内システムへの不正アクセスや情報漏えい、ランサムウェア(システムを乗っ取って暗号化し、解除に身代金を要求する攻撃)への感染は企業にとって経営を揺るがす大きなリスクです。攻撃を受け、社内システムへの侵入やウイルス感染などを許してしまうと、その被害は自社のみにとどまらず、顧客や取引先にも広がってしまいます。1社のウイルス感染でサプライチェーンが混乱に陥る事例も生まれています。
無線LANはケーブルが不要で、PCの使用場所の自由度も向上します。ですが、有線LANとは異なり、無線が届く範囲であれば接続できるため、第三者が不正に受信することが可能になります。セキュリティ対策が不十分だと、さらに社内システムへの侵入を許してしまうことになります。
セキュリティ対策のない無線LANの危険性
無線LANは、その便利さから利用が広がり、LANに接続し、インターネットにアクセスするときの手段として当然のように使われています。しかし無線LANは電波に乗せて情報をやりとりするため、適切にセキュリティ対策を行わないとさまざまな危険性があります。
通信内容の傍受
無線LANの電波は、ノートパソコンやスマートフォンと無線LANルータ(Wi-Fiルータ)の間を結び、さらにインターネットにつながってさまざまなデータをやり取りします。電波は目に見えないのであまり意識されませんが、無線LANルータに向かって一直線に飛んでいるわけではなく、周辺にも広がっています。
つまり、適切なセキュリティ対策を行っていない場合、第三者に無線を不正に傍受され、通信内容を盗み見されてしまう危険性があります。閲覧していたウェブサイトの履歴やメールの内容、クレジットカード番号といった情報を覗かれてしまい、外部に漏洩してしまうリスクがあります。
LANや社内システムへの侵入
無線LANルータ(Wi-Fiルータ)のセキュリティ対策が不十分だと、第三者にLANに侵入されてしまうリスクがあります。LAN、企業の場合は社内システムへの侵入を許してしまうと、そこから勝手にインターネットに接続するなど、重要な資産であるネットワークリソースを勝手に使われることになります。
そればかりか、LAN(社内システム)につながっているパソコンやサーバに侵入されてしまう不正アクセスにもつながり、重要な社内情報や社員の個人情報、顧客情報が盗まれ、外部に流出してしまう危険性があります。特に顧客情報の流出は損害賠償など、大きな被害を招きます。またデータやWebサイトが改ざんされてしまうこともあります。データの改ざんは業務への影響など、直接的な被害のみならず、会社の評判を失墜させるなど、間接的かつ長期的な被害をもたらします。
なおLANや社内システムには、外部の第三者だけでなく、退職者など何らかの関係者が不正にアクセスするケースも少なくありません。技術的な対策はもちろん、退職者のID/パスワードは的確に削除することが不可欠です。
犯罪に利用
無線LAN、さらに社内システムに不正侵入した第三者は、情報を盗み出したり、改ざんするだけではなく、侵入した無線LANルータなどをウイルスやマルウェアを拡散することに悪用する可能性もあります。
いわゆる「踏み台」として利用されてしまった場合、被害は社内だけにとどまりません。取引先や顧客、さらに広く外部にまで及んでしまいます。特に最近では、情報システムを活用して取引先や納入先と密接にデータをやりとりしているため、1社の被害から「サプライチェーン」全体に被害が拡大してしまうことがあります。
つまり、犯罪に利用された場合、不正アクセスを受けた被害者であるのみならず、セキュリティ対策の不十分さが原因で事実上、犯罪に手を貸してしまい、加害者となってしまう危険性があります。
無線LANのセキュリティに関する基礎知識 「暗号化」 と 「認証」
暗号化とは
無線LANにはセキュリティを確保するために、通信を暗号化する仕組みがあります。WEP、TKIP、AESです。WEPが最も古く、AESが最も新しい方式ですが、セキュリティの面では最新のAESが最も優れており、事実上のAESの使用が前提になっています。
WEP方式(Wired Equivalent Privacy)
WEP(Wired Equivalent Privacy)は、無線LANの暗号化方式として最も初期に登場した方式です。日本語に訳すと「有線接続と同等のプライバシー」。登場当初は、文字通り有線接続と同じくらいのセキュリティレベルを実現できると期待されました。ですが、暗号キーが固定であるため、今では暗号解読ツールを使うと、数分もかからずに解読されてしまいます。
携帯ゲーム機に暗号化方式として採用されたため、今でもWEP方式に対応した無線LANルータが残っているケースがありますが、最新機器では採用されていません。万一、WEPにのみ対応した機器がまだ使われている場合は、一刻も早い機器の更新が必要です。
TKIP方式(Temporal Key Integrity Protocol)
TKIP(Temporal Key Integrity Protocol)は、暗号キーが固定だったWEPの欠点を改良した方式です。設定された暗号キーをそのまま使用するのではなく、一定の回数で切り替わる一時鍵(Temporal Key)や、各端末に固有で設定されているMACアドレスを使って、通信の際の暗号化に使うキーを変化させ、セキュリティを高めています。つまり、万一、ある時点でキーが解読されても、短時間でキーが変更されるため、暗号化された通信を解読することは難しくなります。
しかし、TKIPにはすでに複数の脆弱性が指摘されており、現在では使用はあまり推奨されていません。
AES方式(Advanced Encryption Standard)
AES(Advanced Encryption Standard)は、現在主流の暗号化方式です。無線LANでやりとりされるデータをブロック単位で区切って暗号化することで高いセキュリティを実現しています。2000年にはNIST(National Institute of Standards and Technology:米国立標準技術研究所)によって、アメリカ政府の標準の暗号化方式として採用されました。無線LANセキュリティにおいて、現在、事実上の標準となっています。
なお、TKIPは暗号化方式の名称ですが、AESは暗号化アルゴリズムの名称です。暗号化方式としては、CCMPと呼ばれます。CCMP(AES)と表記されることもあります。
SSL(Secure Socket Layer)/TLS(Transport Layer Security)
SSL(Secure Socket Layer)/TLS(Transport Layer Security)は、どちらもデータを暗号化してインターネット上でやりとりするための仕組みです。WebサーバとWebブラウザの間の通信を暗号化する技術ともいえます。
WEP、TKIP、AESは無線LANの通信、つまり電波でやりとりするデータを暗号化する技術でしたが、SSL/TLSは無線LANだけでなく、有線接続も含めたインターネット上の通信を暗号化するものです。TLSはSSLの次世代規格ですが、両者をまとめてSSLと呼ぶこともあります。
認証方式とは
もう1つ、無線LANのセキュリティの仕組みとして認証方式があり、無線LANを使用するときには、暗号化方式と認証方式を組み合わせて使用します。認証方式にはWEP、WPA、WPA2、WPA3があります。
なお、WEP、WPA、WPA2、WPA3のことを暗号化方式や暗号化規格と記述しているWebサイトもあります。この記事では認証方式としましたが、WPA、WPA2、WPA3は暗号化の規格、具体的な暗号化の方式が、TKIPやAESと理解するとわかりやすいでしょう。
WEP
WEPは暗号化方式ですが、無線LANが普及した当初は、WEPキー(暗号キー)、つまりパスワードが一致するかどうかを認証に使っていたため、認証方式としてもWEPと呼ばれました。WEPは暗号化方式でもあり、認証方式でもあったわけです。
WEPはすでに暗号化方式としては使われなくなっています。つまりは認証方式としても使われていません。
WPA
WEPで見つかった脆弱性を解消するために、よりセキュリティを向上させた規格として国際標準規格「IEEE 802.11i」の策定が進められました。一刻も早い製品の提供を求める市場の声に対応して、新しい規格が正式に決定する前のドラフト版をもとにしたものが「WPA」です。WPAのWEPとの違いは、暗号化方式としてTKIPを採用したことです。
またWPA以降の認証方式(暗号化規格)には、個人利用を想定した「パーソナル」、企業ユースを想定した「エンタープライズ」が設けられました。
WPA2
「IEEE 802.11i」の完成版をもとにしたものが「WPA2」です。WPA2ではさらに暗号化方式としてAESにも対応しました。ただし、WPAもバージョンアップによってAESに対応しており、現状ではWPAとWPA2はほぼ同じと考えて差し支えありません。
WPA3
WPA3は、2018年6月に登場した最も新しい方式です。WPA/WPA2にKRACKsと呼ばれる大きな脆弱性が見つかり、それに対応したのがWPA3です。
今後、無線LANルータなどを新規購入する場合は、WPA3に対応したものを選ぶようにしてください。
PSK(Pre-Shared Key/事前共有鍵)
WPA以降の認証方式には、前述したように家庭や小規模ユーザ向けの「パーソナル」と、企業などの大規模ユーザ向けの「エンタープライズ」があります。
PSK(Pre-Shared Key/事前共有鍵)方式は、パーソナルに用いられる方式で、あらかじめ設定されたパスフレーズを全ユーザが共有して使用します。なお、パスワードとパスフレーズに明確な違いはありませんが、一般的に8文字前後のものをパスワード、それよりも長いものをパスフレーズと呼ぶことが多くなっています。
エンタープライズ
大規模ユーザ向けの「エンタープライズ」では、「認証サーバ」を使って、ユーザ1人1人に異なるIDとパスワードを割り当てて認証を行います。全員がPSKを共有する「パーソナル」に比べると、サーバを設置・運用する手間がかかりますが、セキュリティは向上します。
行うべき無線LANのセキュリティ対策
最新のセキュリティ規格を使用する
暗号化方式はAES、認証方式はWPA3、認証サーバを使ったエンタープライズを使用することがセキュリティ対策の第一歩となります。認証サーバの導入が難しい場合は、「WPA3パーソナル」を利用します。
SSIDを外部からわかりにくくする
SSIDは、無線LANルータを識別するための名称、別の言い方をすると、Wi-Fiルータが出している電波の名称です。SSIDは、外部から利用者に関する情報が読み取れないものに変更します。わかりやすいからといって、例えば「KEIEIKIKAKU」「EIGYO」といった名称をつけないようにします。またデフォルトでは、メーカ名や機種名などが含まれることがありますが、そのまま残さないようにします。
SSIDのステルス機能を利用
無線LANを使おうとしたときに、画面にたくさんの無線LANの名前(SSID)が表示された経験があると思います。ステルス機能を使うと、Wi-FiルータがSSIDを利用者に知らせるために出している信号を止めることができ、こうしたことを避けることができます。SSIDがわからなければ、外部の第三者にアクセスされる可能性は小さくなります。
初期設定のID・パスワードは必ず変更する
無線ルータの機種によっては、初期設定のID・パスワードがすべて同じになっていることがあります。必ず変更するようにしてください。
ファームウェアは常に最新版に
無線LANルータは、機能向上やバグ修正のために比較的頻繁にファームウェアのアップデートが行われます。ファームウェアは常に最新のものに更新してください。
来客用の無線LAN接続環境の構築
オフィスに無線LAN環境を構築する際には、来客や取引先など、外部の人も使用する会議室などのスペースには来客用(ゲスト用)の無線LAN接続環境を構築します。カフェなどに設置されているフリーWi-Fiのオフィス版といえます。打ち合わせや会議などで、来客が無線LANを使用する際には、来客専用のIDとパスワードを使って無線LANに接続してもらいます。
来客用の無線LANは、社員が使用する無線LANとは完全に別のものにします。基本的にはインターネットへの接続環境のみを提供し、社員に付与されたアクセス権限とは明確に区別します。最近の無線LANルータの中には「ゲスト機能」を搭載した製品もあるので、そうした機能を活用すると簡単に来客用の無線LAN接続環境が構築できます。あるいは使用環境や接続人数によっては、社員がアクセスする無線LANルータとはまったく別の無線LANルータを設置してもよいでしょう。無線LANルータを物理的に分けることで、安全性はより高くなります。
物理的な対策も有効
顧客の個人情報や機密情報を扱うような部署には、物理的な対策を行うことも考えられます。無線LANは、電波を利用して通信を行うので、電波がある一定の範囲から出ていかないようにし、セキュリティを強化します。具体的には、電波を遮蔽するシートを壁、天井、窓に設置します。無線LANの電波が外部まで飛んでいかないようにすれば、第三者が不正に受信することを防ぐことができます。
あるいは使い勝手は悪くなりますが、重要な情報を扱う部署は無線LANではなく、有線LANを敷設し、有線LANで通信を行うという手段も考えられます。
MACアドレス認証を利用する
PCやスマートフォンはもちろん、無線LANルータやスイッチングハブなど、ネットワークに接続可能なすべての機器には、機器に固有の番号として、MACアドレス(Media Access Control Address)が割り当てられています。このMACアドレスを利用し、あらかじめ登録されたMACアドレスのみがネットワークに接続できるようにすることができます。「MACアドレス認証」です。MACアドレス認証を利用すれば、登録されていない機器のアクセスを制限することができます。
ただしMACアドレスは本来、セキュリティのためのものではありません。無線LANの電波を受信できれば、MACアドレスは簡単に見ることができます。さらにMACアドレスは簡単に変更できるので、MACアドレス認証は悪意を持った第三者であれば、簡単にすり抜けることができます。一定の効果は期待できるものの、セキュリティ対策としては強力なものではありません。あくまでも補完的なものとして活用してください。
無線LANのセキュリティ対策の注意点
ログは可能なだけ収集しておく
万一、不正アクセスの兆候が見られたときは、ログを確認し、対策を検討することが必要になります。ログの収集は、インシデント対応の基本となりますので、ログは可能な限り収集するようにします。
SSL/TLSを過信しない
インターネット上の安全な通信を実現するために、SSL/TLSの利用が進められ、SSL/TLSを使用していないWebサイトにアクセスした際にはWebブラウザに警告が表示されるようになっています。
以前は、入力フォームなどにSSLを使用し、暗号化通信を実現していることは、Webサイトの信頼性の1つの証拠と考えられていましたが、Webサイト全体でのSSL/TLS使用(「常時SSL化」などといわれます)は当然のこととなっています。
SSL/TLSを過信せず、怪しいWebサイトにはアクセスしないようにします。
公共の場ではファイル共有機能を解除する
パソコンやスマートフォンには、端末のローカル環境に保存されているファイルを他のユーザと共有するための「ファイル共有機能」が搭載されています。
外出先で、カフェや商業施設のフリーWi-Fiなどを使ってインターネットにアクセスした時にこの機能がオンになっていると、パソコンやスマートフォンに保存してあるファイルを覗き見されてしまう可能性があります。さらにはウイルスなど、不正なファイルが送られてしまうことにもなりかねません。
フリーWi-Fi、公衆Wi-Fiなどを利用する時には、ファイル共有機能は解除します。あるいはノートPCなどを外出先で利用するケースが多い場合は、ファイル共有には別の手段を検討し、ノートPCのファイル共有機能は常に解除しておくようにします。
有線LANも活用
無線LANは、レイアウト変更やリモートワークなどにも対応しやすいですが、重要な経営情報、顧客情報などを扱うパソコンなどは有線LANを使用することも検討します。無線LAN、有線LANを適材適所で活用してください。
ステルス機能を過信しない
前述したSSIDのステルス機能は、アプリなどで比較的容易に破られてしまいます。あくまでも対策の1つと考え、過信しないようにします。
アクセスポイントを自分で設置する場合は暗号化方式を適切に設定する
家庭などに自分でアクセスポイント(無線LANルータなど)を設置する際には、暗号化方式は最新のもの、具体的にはWPA3を選ぶようにします。端末側でWPA3に対応していないものは、可能な限り、使わないようにした方が良いでしょう。WPA3が難しい場合でも、WPA2-AESを利用してください。WPA2-PSK(AES)と表記されている場合もあります。
また、パスワード(パスフレーズ)は、単純なものではなく、ランダム、かつ文字数が多いものにします。名前や部署名などから類推される可能性があるものは使わないようにしてください。
無線LANセキュリティに関する疑問は”パナソニックEWネットワークス”へ
パナソニックEWネットワークスは、オフィス・学校・工場など、エンタープライズのお客様の環境やニーズに合わせて、機器選定-構築-工事-保守に至るまでトータルでサポート。高品質なネットワーク製品を提供しているメーカとしての技術力をベースに、セキュアで安定したWi-Fi環境の構築を行います。
エンタープライズ向け無線LAN構築に関するお見積りの依頼はもちろん、環境調査やサーベイもご相談ください。導入済みの他社製品に対するサーベイも可能な限り、ご相談に応じています。自社の高品質な製品を核として、お客様の環境に合わせたソリューション、ネットワーク機器・サービスを提供することはもちろん、ワークプレイスの活用提案までトータルにサポートしています。
オフィスや工場、病院におけるWi-Fiセキュリティ、Wi-Fi構築に関するお問い合わせはこちら。
よくあるご質問
- 無線LANの見積依頼をしたい
- お気軽にご相談ください。ネットワーク構成と図面を事前にご用意のうえご相談といただくとスムーズです。
- 環境調査・サーベイはお願いできますか?
- はい。調査範囲はご相談ください。
- 他社が入れている無線LANのサーベイはできますか。
- 内容によりますので、調査内容はご相談ください。
無線LANセキュリティは環境整備の第一歩
日本でも、マルウェアを使った身代金攻撃などが増え、セキュリティ対策は企業にとって大きな課題となっています。便利に、柔軟に利用できる無線LANは、新しい働き方を支えてくれる力強いツールですが、同時に危険性も大きくなっています。無線LANセキュリティの重要性を今一度、確認してみてください。