イベント報告 2022/02/23

【ウェビナー】企業無線LANの必須要件～ガイドラインが求める認証でセキュリティを強化する方法～

30分でスッキリ分かるウェビナー公開中

いまや、企業の必需品となった無線LAN。
次世代規格 Wi-Fi 6 (IEEE 802.11ax) の登場もあり、2022年はより快適なネットワーク環境の実現が期待されています。

しかし、その一方で、無線LANには、ひとたび設定や運用を誤ると深刻なセキュリティ事故に直結する危険があることも忘れてはなりません。
Wi-Fi 6で変わるトコロと変わらないトコロ。企業が無線LANを導入・検討する際に絶対に外してはいけないポイントとは？

今回は、企業無線LANの "あるべき姿"を、その成否を分ける認証セキュリティに注目し解説します。

「法人向けアクセスポイント」を導入すべき理由

無線アクセスポイントは大きく2種類に分類できます。

主に家庭で利用されるものと、企業や自治体・学校などでの利用を想定しているものです。

今回は、この2種類のアクセスポイントの違いに注目しつつ、企業に最適な無線LAN環境の実現について考えていきたいと思います。

画像を拡大して表示

まず、一般に（企業用・家庭用を問わず）Wi-Fi におけるセキュリティリスクとしては、盗聴と不正侵入が挙げられます。

　前者の通信の盗聴に関しては、暗号化方式にAES（Advanced Encryption Standard）を選択すればまず安心だと言われています。

　企業において特に注意すべきは後者の不正侵入対策です。

画像を拡大して表示

通常、家庭用無線AP では、すべてのユーザーは同じ認証キー（PSK：Pre-Shared Key）で接続します。「パーソナル方式」とも呼ばれるこの方式は、ユーザー個別の認識ができません。端末の盗難紛失や、画面の盗み見などにより認証情報が外部に漏れてしまうと、その後の不正侵入を防ぐことが困難になってしまうのです。

　更に、運用面にも大きな課題があります。それは認証キーの変更です。前述の意図しない漏洩に加え、例えばユーザーが退職した際などでも、認証キーを変更しなければなりません。

このとき、使用するキーが同一であるため、Wi-Fi を利用している全てのユーザー・端末に影響がでてしますのです。また、変更が完了するまでの間はWi-Fi に接続できないユーザー・端末が出てしまうのも大きな欠点です。

多くのユーザーが利用する企業において、運用上でも「パーソナル方式」が現実的ではないことがわかります。

画像を拡大して表示

　同一の認証情報を用いる家庭用無線AP を業務に使うのはおすすめできません。

企業でWi-Fi を導入する場合には、個別に認証できる企業用無線AP を採用すべきなのです。

適切な認証方式を選択するためのポイント

　ユーザーや端末を個別に認証にはどのような方法が用意されているのでしょうか。ふとMAC アドレスによる認証を連想されたかもしれなせんが、無線環境での利用は危険です。

　MAC アドレスはネットワーク・インターフェース一つひとつにユニーク（一意）に割り振られた情報であり個別の認証は最適なように思えます。また、MAC アドレスを利用した制限機能は多くの無線AP に搭載されているため、あたかも効果のあるセキュリティ対策であるかのように誤解されがちです。

　しかし、実際には、無線通信においてMAC アドレス情報は暗号化されておらず、無線パケットを傍受すれば簡単に見ることができます。更に、端末が使用するMAC アドレスはソフトウェアで書き換えることもできるので、任意の端末を正規端末のように詐称することも簡単なのです。このことからWi-Fi のセキュリティ対策としてMAC アドレスによる認証は効果が薄いと言われています。

無線LAN環境にMACアドレス認証が適さない理由画像を拡大して表示

　企業がWi-Fi 環境を運用するためには、企業用無線AP のみが標準対応する「エンタープライズ方式」とよばれる接続方式を採用します。

また、この方式では大きく「ユーザーによる認証」と「端末による認証」が用意されており、企業ごとの要件にあわせて選択することができます。

パスワード認証と電子証明書認証画像を拡大して表示

前者の代表的なもとしては、ユーザーID＋パスワード方式があります。

各ユーザーにID とパスワードを割り振ることでユーザー個々の識別が可能となり、セキュリティレベルを高めることができます。またユーザーで認証しているため、（パスワードを正しく入力できれば）接続する端末は問いません。

BYOD（Bring Your Own Device）環境で最適な認証方式といえます。もちろん、従来のシステムと同様に、ユーザーID とパスワードが漏洩してしまえば不正侵入は可能となってしまいますし、管理者にとってもID・パスワードが増えるなどの業務負担の増加は考慮しておく必要があります。「ユーザーによる認証」は、良くも悪くも馴染みの深い方式です。

画像を拡大して表示

　もう一方の「端末による認証」は、例えばID・パスワードの適切な運用が困難であったり、（正規の利用者が操作するとしても）不特定の私物端末からの接続は制限したりしたい場合に選択すると良い方式になります。

Wi-Fi への接続に「端末による認証」を希望する場合には、電子証明書を用いた方式が用意されています。セキュリティを高めつつ管理や利用の負担を軽減できるため、現在広く用いられている方式です。

　電子証明書をあらかじめWi-Fi への接続を許可したいPC やスマートデバイスにインストールしておくことで、自動的に認証が行われます。ユーザーは認証を意識したり認証情報の管理に苦労したりすることはありませんし、管理者もパスワード忘れや誤入力の時のような対応は不要です。電子証明書は、ユーザーと管理者の手間を同時に省くことができるのです。

画像を拡大して表示

一見、良いことづくめな電子証明書による認証ですが、長らく十分に普及しているとは言い難い状況にありました。

　電子証明書を使った認証には、証明書を発行する認証局と実際に認証を行うための認証サーバーを別途用意する必要があります。従来は、これらのサーバー構築には高い専門性が求められ、これが導入にあたっての障壁になってきたのです。

オールインワン認証アプライアンスという選択

このようなサーバー構築の手間を省き、管理者の設定や運用の負担も軽減するのが、ソリトンシステムズのオールインワン認証アプライアンス『NetAttest EPS』です。

　NetAttest EPS は認証に特化した専用アプライアンスです。電子証明書や認証、そのほかサーバー構築に関する専門的な知識を要求しません。ウィザード形式での初期設定を行うだけで、使い始めることができます。国産製品であり、付属のマニュアルや操作画面は日本語で提供されており誰でも簡単に使うことができるよう配慮されています。

　また、企業によっての重要インフラとなったWi-Fi 環境を支えるべく、ハードウェアはハードディスクレスでトラブルも少なく、安定した運用を実現します。もちろん二重化も可能ですので、より信頼性の高い認証システムを構築することができます。

　オプションで電子証明書の発行・配布を効率化することもでき、これによりさらに運用・管理の負担を軽減できるようになります。

　これから本格的な業務用Wi-Fi の導入を検討されているネットワーク担当者の皆さま、安心かつ使い勝手の良い業務用Wi-Fi を運用するために、『NetAttest EPS』の導入を検討してみてはいかがでしょうか。