オフィス、工場、自宅、外出先などさまざまな場所に無線LAN環境が構築されています。令和4年3月公表の『無線LAN利用者に対するアンケート調査集計資料』(総務省)によると勤務先において無線LAN環境として「業務用のものが提供されている」と回答した人は54.2%、自宅で無線LANを設置している人は約88.9%に上りました。
無線LAN環境における盗聴や不正アクセス、情報漏えいなどさまざまなセキュリティリスクに対し、皆さんは十分な対策を施せているでしょうか? 本記事では、無線LANに対するセキュリティ対策・アクセス管理の基本事項をご紹介します。
無線LAN製品の業界団体『Wi-Fi Alliance』が策定した無線LANの暗号化プロトコルがWPAであり、2018年6月に発表されたその最新版がWPA3です。WPA3では、SAE(Simultaneous Authentication of Equals)という仕組みを用いて共通鍵の交換と認証を同時に行うことで、より強固な暗号化や前方秘匿性を獲得しています。2023年現在最も普及しているWPA規格は2004年に発表されたWPA2であり、WPA3はその脆弱性「KRACKs」の発見を受け、開発されました。
ただし、適切なアップデートやパッチの適用、ほかのセキュリティ対策との組み合わせが行われれば、WPA2も利用して問題ありません。
前述の『無線LAN利用者に対するアンケート調査集計資料』(総務省)によると、自宅無線LANの暗号化方式としてWPA3を用いていると回答した人の割合は6.7%。一方、脆弱性を指摘されているWEPを利用する人も13.9%、WPAは21.5%存在し、リモートワークなどにあたっては十分な調査と対処が求められます。
暗号化や共通鍵について詳しくはぜひ『「暗号化」とは? いまさら聞けない仕組みや注意点』をご参照ください。
無線LANネットワークへの接続において個人と企業で大きく異なるのが、利用者が限定されるか否かです。例えば事前共有鍵を用いたPSK(Pre-Shared Key)認証では、退職者が出るごとに共通のパスワードを変更しなければ機密性が厳密に保たれません。また、勝手に個人のデバイスを社内ネットワークにつなげるシャドーITや、機器の盗難・紛失といった事態にも無力です。
そこで推奨されるのが、RADIUSサーバー(認証サーバー)でユーザー、デバイスを個別に認証する「IEEE802.1x認証」です。ID・パスワードのみならず電子証明書やワンタイムパスワードといった認証方法のバリエーションが存在し、管理者が不正な端末を拒否したり、端末ごとに利用を停止したりすることが可能になります。 IEEE802.1x認証は、WPA2、WPA3のエンタープライズ向けモードや、多くの法人向けアクセスポイント、アプライアンス製品などに搭載されています。
もちろん、前提としてパスワードにはランダムで複雑性の高いものを設定し定期的に更新する、SSIDは初期設定から変更するなど、従来の基本的な対策も不正アクセスの防止にあたっては推奨されます。
総務省は平成25年公開の資料『企業等が安心して無線LANを導入・運用するために』で企業等の無線LANにおける情報セキュリティ上の脅威を「①無線LAN区間における通信内容の窃取及び改ざん」「②内部ネットワークへの侵入」「③利用者へのなりすまし」「④不正なアクセスポイントによる通信内容の窃取」「⑤通信の妨害」の5つに分類し、それぞれの対策方法を分析しています。
そこで、「②内部ネットワークへの侵入」「③利用者へのなりすまし」において“追加的に実行することが有効な対策”として提示されているのが「電波の伝搬範囲の適切な設定」です。
※参考:企業等が安心して無線LANを導入・運用するために(総務省)4ページ
同資料中でも記述されている通り、電波の伝搬範囲はアクセスポイント周辺の状況に依存するため、企業の情報システム担当者が下記ポイントを押さえた適切な伝搬範囲を、それぞれの環境に合わせて設定することが求められます。
また、異なる部署間、ゲスト用などでネットワークを分離し、無秩序な接続や通信を防ぐことも重要です。
無線LANのセキュリティ対策、アクセス管理の基本について解説しました。よりセキュリティ対策を徹底するならば、上記に加えログの記録やVPNの活用、専用のソリューションの導入などが求められます。無線LAN環境は、オフィスの設計や社内コミュニケーションの効率などを大きく変える可能性があるからこそ、十分な知識と説明能力を備えた上で、導入・運用に取り組むことをおすすめします。