まずはお気軽にご相談ください。

【総合受付窓口】
大塚商会 インサイドビジネスセンター

0120-579-215(平日 9:00~17:30)

MACアドレス制限は“効果ゼロ”今さら聞けない「無線LAN認証」の基本【2/4】

無線LANを安全に利用するための要となる「認証」の基本について分かりやすく説明します。ここでは認証に関わる不正アクセスなどについてご紹介します。

企業無線LANには「エンタープライズ認証」を

いまや無線LANは企業活動に欠かせないインフラ基盤です。利用される分野も広がっており、例えば総務省は、2020年までに全国全ての小・中・高校に無線LAN(Wi-Fi)を導入するよう進めています。今後、ますます無線LANがネットワークの標準として普及していくことは間違いありません。

だからこそ、企業無線LANをPSKやMACアドレス認証で運用する危険性を知っておかなければなりませんし、PSK認証における危険性を回避するWPA2エンタープライズへの正しい理解も求められているのです。

  1. IDとパスワードを用いて認証するタイプ
  2. 電子証明書を用いて認証するタイプ

特に近年では、クライアントPCを有線LANで接続する機会が急速に減る一方、無線LANの普及が急速に進み、社員が利用するデバイスもモバイルPCやタブレット、スマートフォンが主流になってきました。こうした流れもあり、WPA2エンタープライズの環境を整備し、社内の無線LAN環境を強固なセキュリティで保護する必要性もさらに高まっています。

IDとパスワードによるセキュリティと"限界"

まずWPA2エンタープライズのうち、EAP-PEAPに代表される「ID とパスワードを用いて認証するタイプ」がWPA2パーソナルとどう違うのかを整理します。

WPA2パーソナルでは、共通のパスフレーズ(PSK)で認証を行います。PSKを知っているユーザーのみがアクセスを許可される仕組みはパスワード認証と同様ですが、共通のフレーズを使用するため認証情報が外部に漏えいした場合の影響は大きくなります。一方、WPA2エンタープライズでは、ユーザーごとに異なるIDとパスワードを用います。認証情報を秘密として管理しやすく、いつ、どのユーザーがアクセスしたのかを把握することも可能です。

運用面でのメリットも大きく、IDとパスワードが漏えいした場合でも、該当ユーザーのアカウントを停止するだけで済むため、WPA2パーソナル環境で見られた全ての端末・アクセスポイントを対象とした再設定作業は必要ないですし、その間のネットワーク停止も発生しません。

WPA2パーソナル

  • 秘密の合言葉(PSK:Pre-Shared Key)の一致によって接続が許可される。
  • 全ユーザー/端末で同じ合言葉を共有しているため、利用者の退職や異動、端末の紛失などあった際には、全ての端末・APの設定をやり直さなければならない。
  • 設定の変更中、ネットワークは利用できない。

WPA2エンタープライズ

  • 標準規格「IEEE802.1X EAP認証」により接続が許可される。
  • 各ユーザー/端末は固定の情報で認証しているため、対し退職や異動、端末の紛失時にも、認証サーバーの操作だけで対応できる。
  • 認証サーバー捜査中も、ネットワークは利用できる。

一見、WPA2エンタープライズにしさえすれば手軽に安全を確保できるように思えますが、セキュリティ要件によっては適さない場合があります。それは、「IDとパスワードを用いて認証するタイプ」はユーザーごとの認証であり、デバイスごとの認証はない点です。

「シャドーIT」を野放しにしておくのは危険!

ユーザー認証を厳格に実施していたにもかかわらず、不正なアクセスを見逃してしまうケースは、決して特異な例ではなく、企業無線LANでも十分に起こりうる問題です。

その原因の一つとして「シャドーIT」があります。シャドーITとは、社員が会社の許可を得ずに持ち込んだ私物のデバイスや、それらが業務で利用されている状態を指します。管理外のデバイスが無秩序に社内LANに接続され、インターネットなどの外部ネットワークにアクセスすることで、ウイルス感染や情報漏えいなど、思わぬトラブルにつながりかねません。

有線LANが主役であった時代、「持ち込みPC対策」としてネットワーク接続できるクライアントを制限する目的で、不正なPC が接続された際には、速やかに検知できる仕組みを導入した企業は多くありました。小型で高性能、オフィスに持ち込まれる頻度がけた違いのスマートフォンを対象とする無線LANでは、より一層の注意が必要です。

上記を踏まえて、IDとパスワードによる認証環境を考えてみましょう。社員は自身のIDとパスワードを知っています。この状況で社内イントラ上の業務情報を今すぐ確認したくなった場合、手元には使い慣れた私物のスマートフォンやタブレットがあり、パスワードを入力すれば簡単に接続できるとすればどうでしょう。社員本人の悪意の有無とは別にして、社内データを私物のスマートフォンやモバイルPCにコピーし、自宅に持ち帰って作業したり、個人端末からインターネット上のファイル共有サービスにデータをアップロードしたりするといった事態が起こることが、容易に想像できてしまいます。

企業向けの十分な対策とは!?

ナビゲーションメニュー