IT用語集 2023/10/16

WPA3とは？わかりやすく10分で解説

Q: WPA3に加えて何を見ればよいですか？

端末の管理、802.1X/EAPやRADIUSをどう使うか、ネットワークの分け方、ログ確認、必要に応じたVPNの併用まで見ると、現場での見きわめがしやすくなります。

コラム

WPA3の基本とは

Wi-Fi（無線LAN）で使う守り方の新しい世代がWPA3です。Wi-Fi Allianceは2018年にWPA3の内容を公表し、同年に認証を始めました。家庭向けのWPA3-PersonalではSAEを使い、通信を見られた場合でも、あとから候補のパスワードを大量に試しにくくします。企業向けのWPA3-Enterpriseでは、802.1X/EAPを使う前提で、より厳しい暗号の組み合わせも選べます。公衆Wi-Fiの保護や、IoT機器をつなぐときのはじめの設定は、WPA3そのものに加え、同じ時期に始まったEnhanced OpenやEasy Connectもあわせて見るとつかみやすくなります。

WPA3の位置づけ

WPA3（Wi-Fi Protected Access 3）は、無線LANで使う認証と暗号の扱いを見直した、Wi-Fi Allianceの認証プログラムです。大きくは次の2つに分かれます。

WPA3-Personal：家庭や小さな環境向けです。共有パスワードは使いますが、認証の場面ではSAEを使います。これにより、オフラインで辞書を使った推測をしにくくし、後からパスワードが漏れた場合でも過去の通信をまとめて読み取りにくくします。
WPA3-Enterprise：企業や組織向けです。基本は802.1X/EAPを使い、RADIUSなどと組み合わせて使います。要件が高い環境では、192-bit securityをねらう構成も選べます。

また、WPA3ではPMF（Protected Management Frames）の扱いも重くなり、無線の管理用フレームをねらう攻撃への備えも進んでいます。

なぜWPA3が出てきたのか

無線LANは便利ですが、盗み見、なりすまし、パスワードの推測といった攻撃を受けやすい面があります。とくにWPA2-Personalでは、4-way handshakeを取られると、攻撃者が手元で候補のパスワードを何度も試す形に持ち込みやすいことが問題でした。WPA3-Personalは、この点をSAEで改めています。

もう1つの事情は、画面やキーボードがない機器が増えたことです。そうした機器では、はじめの設定が雑になると、そこが弱点になりやすくなります。このため、WPA3の登場とあわせて、機器を安全につなぐための認証プログラムも重く見られるようになりました。

WEPからWPA3までの移り変わり

無線LANの守り方は、おおむね次の順で改められてきました。

WEP：初期の方式です。暗号の作りに弱い点があり、今は使わない前提です。
WPA：WEPの弱点に対する当座の手当てとして広まりました。
WPA2：IEEE 802.11i（RSN）をもとにした方式です。多くの環境ではAES-CCMPが使われました。
WPA3：WPA2で残っていた課題、とくに家庭向けでのパスワード認証まわりを見直した新しい世代です。

新しい規格でも更新は欠かせない

規格が新しくても、実装や設定が古いままだと弱点は残ります。実際、WPA3の登場後にはDragonbloodとして知られる研究が公表され、SAEやTransition Modeの扱いに見直しが入りました。したがって、「WPA3ならそれだけで安全」とは言えません。機器の更新と、無理のない設定を続けることが前提です。

WPA3と一緒に見ておきたい機能

まず見ておきたい点

WPA3-PersonalではSAEを使う
Wi-Fi Enhanced Openで、公衆Wi-Fiでも通信を暗号化しやすくする
Wi-Fi Easy Connectで、画面がない機器の設定を進めやすくする
WPA3-Enterpriseでは、より厳しい暗号の組み合わせも選べる

SAEとは何か

SAE（Simultaneous Authentication of Equals）は、パスワードを使って接続するときの鍵のやり取りの方式です。WPA2-PersonalのPSKとは考え方が異なります。主な点は次の通りです。

オフラインで辞書を使った推測をしにくい：通信を取られても、攻撃者が手元で候補を一気に試しにくい作りです。
過去の通信を読み取りにくい：あとからパスワードが漏れても、以前の通信をまとめて読まれにくくします。

なお、失敗を何回まで許すか、試行をどこで止めるかといった点は、規格そのものではなく、アクセスポイントの実装や設定に左右されます。現場では、回数を制限すること、監視、攻撃の検知もあわせて見ます。

Wi-Fi Enhanced Openとは

公衆Wi-Fiでよくある「暗号なしの接続」を見直すための認証プログラムがWi-Fi Enhanced Openです。中で使われるOWE（Opportunistic Wireless Encryption）により、同じSSIDにいる第三者から通信をのぞき見されにくくします。ただし、つないだ相手が正しいアクセスポイントかどうかまで、自動で確かめる仕組みではありません。

Wi-Fi Easy Connectとは

Wi-Fi Easy Connectは、画面やキー入力がない機器を、安全につなぐための認証プログラムです。QRコードなどを使って、別の端末から設定を渡せるようにします。いわゆる「初期パスワードのまま使う」といった雑な始め方を減らしたいときに向いています。

192-bit securityを見るときの注意

WPA3-Enterpriseには、要件が高い組織向けに、192-bit securityをねらう構成があります。これはWPA3全体に自動で付く性質ではなく、Enterpriseで、使う暗号やEAPの組み合わせを厳しくそろえたときの話です。IoT機器の説明で「192ビットだから安全」と短く言い切るのは適切ではありません。機器の弱点は、はじめの設定、更新、使い続ける間の管理にも出るからです。

WPA2とWPA3の違い

見る点	WPA2	WPA3
家庭向けの認証	PSKが中心。handshakeを取られると、候補のパスワードを手元で試されやすい	SAEを使う。候補のパスワードを一気に試しにくい
公衆Wi-Fi	暗号なしの接続が残りやすい	Wi-Fi Enhanced Openで通信を暗号化しやすい
企業向け	802.1X/EAPを使えるが、選ぶ構成は広い	802.1X/EAPに加え、192-bit securityをねらう構成も用意される
知られている注意点	KRACKは4-way handshakeまわりの弱点として知られる	DragonbloodでSAEやTransition Modeまわりの注意点が示された

導入時に見る点

Transition Modeの扱い

移り変わりの時期には、WPA2とWPA3を同じSSID、同じパスフレーズで使うTransition Modeを選ぶことがあります。古い端末もつなぎやすい一方で、WPA2側へ落とされる余地があり、注意が要ります。導入時は、どの端末がWPA3に対応しているかを確認し、最終的にはWPA3だけで運べる形へ寄せるのが無難です。

規格だけでなく更新も見る

アクセスポイントやコントローラのファームウェア更新
端末側OSや無線ドライバの更新
WPA2/WPA3、Personal/Enterpriseの使い分けの確認
不審な接続を試す動きや設定を変える操作を見るためのログ確認

WPA3は有力な改善ですが、単独で万全になるわけではありません。端末の管理、802.1X/EAPやRADIUSをどう使うか、ネットワークの分け方、必要に応じたVPNの併用まで含めて考えると、現場での守りは安定しやすくなります。

まとめ

WPA3は、家庭向けではSAE、企業向けではより厳しい構成を取り込み、WPA2より一歩進んだ無線LANの守り方を示した世代です。ただし、見るべき点は規格名だけではありません。Enhanced OpenやEasy Connectの位置づけ、Transition Modeの使い方、機器やOSの更新まで見ておくと、実際の導入で見きわめやすくなります。FAQ（WPA3）