|
本日 |
| 無線LANとセキュリティ対策 |
|---|
無線LAN機器の低価格化やWindowsXPが無線LANを標準サポートしたことによる設定の容易化などで、無線LANが各家庭に急速に普及しています。
無線LANでは、LANケーブルを使用する代わりに、電波を利用してパソコン等と無線アクセスポイント間で情報のやり取りを行うため、電波の届く範囲であれば自由にLAN接続が可能であるという利点があります。
その反面、電波はある範囲内であれば障害物(壁等)を越えてすべての場所に届くため、セキュリティに関する設定を行っていない場合、以下のような問題が発生する可能性があります。
| 問題 | 説明 |
|---|---|
| 盗聴 | 悪意ある第三者が、電波を故意に傍受し の通信内容を盗み見られる可能性があります。 |
| 不正侵入 | 悪意ある第三者が、無断で個人や会社内のネットワークへアクセスし などの行為をされてしまう可能性があります。 |
本来、無線LANカードや無線アクセスポイントは、これらの問題に対応するためのセキュリティの仕組みを持っていますので、無線LAN製品のセキュリティに関する設定を行うことで、その問題が発生する可能性は少なくなります。
無線LAN機器は、購入直後の状態においては、セキュリティに関する設定が施されていない場合があります。セキュリティ問題発生の可能性を少なくするためには、無線LANカードや無線LANアクセスポイントを使用する前に、必ず無線LAN機器のセキュリティに関する全ての設定をマニュアルにしたがって行うことが重要です。
■ 標準的な無線LANセキュリティ機能
第三者が簡単に盗聴・侵入できないようにするためのセキュリティ対策には大きく「接続制限」「暗号化」の2つがあります。標準的な無線LANセキュリティ機能には、「SSID」「WEP」「MACアドレスフィルタリング」機能があり、エンドユーザが簡単に設定できるようになっています。
| セキュリティ機能 | セキュリティ方式 | 説明 |
|---|---|---|
| SSID(Service Set Identifier) or ESS-ID(Extended Service Set Identifier) | 接続制限 | 接続先のアクセスポイントを指定するIDで、同じSSIDを設定した無線LAN端末だけが接続可能になります。あくまでも接続先の識別機能ですので、SSIDを設定しただけでセキュリティを設定したつもりになってはいけません。WindowsXPはアクセスポイントのSSIDを自動的に検知する機能を持っているため簡単にSSIDを見ることが出来ます |
| WEP(Wired Equivalent Privacy) | 暗号化 | 共通の暗号化キー(WEPキー)でアクセスポイントと無線LAN端末間のデータを暗号化します。無線電波が第三者に傍受されても、暗号を解読しないとデータの中身を判読することができなくなり、また無線LANに侵入することもできません |
| MAC(Media Access Control) アドレスフィルタリング | 接続制限 | 個々の無線LAN端末が持つ固有の番号(MACアドレス)をアクセスポイントにあらかじめ登録しておき、登録されている無線LAN端末だけを接続可能にします。無線アクセスポイントへの設定方法は機種によって異なりますが、接続可能なMACアドレスを登録する方式や、接続を排除するMACアドレスを登録する方式があります |
- SSIDの設定(クライアント/アクセスポイント両方に設定)
SSIDは初期状態ではメーカ設定値または未設定になっているため、他のネットワークと区別するために自分のネットワーク固有の名前を設定する必要があります。但し、設定したSSIDは第三者が簡単に見ることが出来るのでSSIDにセキュリティとしての機能は期待できません。逆にSSIDに自分の苗字や組織名など利用者を特定できる名前を設定すると第三者に不要な興味を抱かせる可能性があります。出来るだけ意味を持たない名前を設定する事を推奨します。SSIDには特殊なIDが存在します。クライアント側の設定でSSIDの項目に「Any」と入力する、もしくは空白のままにすると、アクセスポイント側のSSIDの設定がたとえ何であったとしても、そのクライアントはすべてのアクセスポイントに接続することが可能となってしまいます。これはホットスポットなどのオープンスペースで無線LANを利用する場合を考慮した仕様です。また、WindowsXPや最近の無線LANの設定ソフトウェアなどは、アクセスポイントのSSIDを自動的に検知する機能を持っているため、簡単にSSIDが漏洩してしまいます。
- WEPの設定(クライアント/アクセスポイント両方に設定)
WEPは無線区間のデータを暗号化する機能で、現時点で一番効果があるセキュリティ機能です。初期状態ではWEPは有効になっていないので暗号化キー(WEPキー)を設定して必ずWEPを有効にする事を推奨します。また128ビットと64ビットのWEPキーの設定が可能な場合は不正な解読を困難にするため128ビットを選択すること、万一WEPキーが破られたことを想定して定期的にWEPキーを変更することを推奨します。WEPキーはアクセスポイント側、クライアント側のWEPキーの項目に値を入力して設定を行います。64ビット鍵長暗号化の場合は5文字の文字列もしくは10桁の16進数、128ビット鍵長暗号化の場合は13文字の文字列もしくは26桁の16進数を入力します。入力する値は第三者に推測されやすい文字列(企業名や個人名、単純な英単語など)よりは、英字小文字、英字大文字、数字、記号が混在した文字列の方がセキュリティが高くなります。16進数で設定すればさらに良いでしょう。
- MACアドレスフィルタリング(アクセスポイント側に設定)
登録したMACアドレスを持つ機器以外のアクセスポイントへの接続を禁止する機能で侵入防止に効果がありますが、盗聴防止には効果はありません。また専用のツールでMACアドレスを盗聴される可能性があり、WEPとあわせて使用することを推奨します。MACアドレスは、パソコンの裏面や無線LANカードの裏面などにその機器固有の12桁の16進数の番号が書かれています。このクライアント側のMACアドレスをアクセスポイント側に登録することによって、MACアドレスを登録したクライアント以外はアクセスポイントに接続することが不可能になり、無線LANが利用できる人を制限することができます。
- Windows 95/98/Meは、MS-DOSプロンプトもしくはスタートメニューの「ファイル名を指定して実行」でwinipcfgコマンドを実行します。「IP設定」ダイアログが表示されますので、使用しているEthernetカードを選択します。この中の「アダプタアドレス」がMACアドレスです。
- WindowsNT/2000/XPはコマンドプロンプトで、ipconfig /all コマンドを実行します。使用しているネットワークカードの「Ethernet adapter ワイヤレス ネットワーク接続の Physical Address」がMACアドレスです。
- LinuxではifconfigコマンドでIPアドレスやMACアドレスを表示することができます。
■ WindowsXPのSSID、WEBキーの設定方法
WindowsXPは無線LANを標準サポートしてますので、無線LANの設定ソフトウェアがなくても無線LANのインストールや設定が可能です。WindowsXPでのSSIDやWEBキーの設定・変更は「ワイヤレス ネットワーク接続」で行います。WindowsXP以外のクライアントやアクセスポイントのSSID、WEBキー、MACアドレスの設定・変更は機器付属の「無線LANの設定ソフトウェア」等で行うことになります。
- 「スタート」→「接続」→「すべての接続の表示」を選択し「ネットワーク接続」画面を表示する
- 「ワイヤレス ネットワーク接続」アイコンを右クリックして「プロパティ」を選択する
- 「ワイヤレス ネットワーク接続のプロパティ」画面(下図左)にある「ワイヤレス ネットワーク」タブを選択する
- 「利用できるネットワーク」欄に、現在利用可能なアクセスポイント(SSID)一覧が表示されます(注)
- 「構成」ボタンを押すと「ワイヤレス ネットワークのプロパティ」画面(下図右)が表示され、
- ・ネットワーク名(SSID)とデータ暗号化(WEPの有効)、ネットワークキー(WEBキー)の設定
- ・「認証」タブでIEEE802.1x の設定
が行えます
- ・ネットワーク名(SSID)とデータ暗号化(WEPの有効)、ネットワークキー(WEBキー)の設定
相手からもあなたのネットワークが見えてますので、上記セキュリティ対策をすぐに行いましょう。
(アンテナマークに○印のあるネットワークが現在つながってるネットワークです。SSID名は架空のものです)
■ 更に強固なセキュリティ方式
- WPA(Wi-Fi Protected Access)- 新しい無線LANのセキュリティ規格
Wi-Fi Alliance(無線LANの推進・相互運用性を保証するための業界団体)によって2002年10月にセキュリティの強化を目的として発表された規格です。WEPの代わりに、TKIP(Temporal Key Integrity Protocol)という暗号化規格を採用し、また、IEEE802.1xのユーザ認証規格も含んでいます。TKIPは、パケットごとに暗号鍵を自動的に更新することにより、暗号鍵の解読をより困難にすることが可能な暗号化方式です。WEPよりも高度な手順を用いて、暗号キーの類推・なりすまし・データの改ざんを防ぐことができます。 - IEEE802.1x - 強固なユーザ認証の方式
通信を開始する前にユーザ名、パスワードや電子証明書を使って認証をおこない、認証されたユーザのみが通信を許可されます。これにより、不正なユーザのアクセスを禁止することが出来ます。また、WEPキーを一定時間ごとに自動的に配布する機能を使えば定期的にWEPキーを更新することも出来ます。これにより、WEPキーが固定ではなくなるため、より強固なセキュリティとすることができます。
IEEE802.1x の実現のためには、無線LANカード、アクセスポイントがともに、IEEE802.1xに対応している必要があり、認証サーバーも必要となります。このため、家庭の個人が使用するというよりは、オフィス等での使用時に集中的に管理するのに適した方法といえます。有線LANの仕様として規格されたものですが、一般に無線LANでの認証の仕様として使用されています。認証動作には、EAP(Extensible Authentication Protocol)を使用します。EAPを実現するためには、外部サーバー[RADIUS(Remote Authentication Dial-in User Service)サーバー]を用いるのが一般的です。
■ 無線LAN規格の比較 
無線の規格にはさまざまな規格があり、現在おもに使われているのは策定順に IEEE802.11b、IEEE802.11a 、IEEE802.11g 、IEEE802.11nドラフト2.0 という規格があります。無線規格の相違点をまとめると、以下のようになります。
| IEEE | 11b | 11a | 11g | 11nドラフト2.0 |
|---|---|---|---|---|
| 策定時期 | 1999年10月 | 1999年10月 | 2003年6月 | 2007年8月 |
| 周波数 | 2.4GHz帯 | 5.2GHz帯 | 2.4GHz帯 | 2.4GHz/5.2GHz帯 |
| 伝送方式 | DS-SS | OFDM | OFDM | OFDM/DS-SS |
| 通信速度 | 11Mbps | 54Mbps | 54Mbps | 300Mbps(将来は600Mbps) |
| 長所 |
・対応機器が多い ・公衆無線LANスポットで最も普及している規格 ・通信範囲がやや広い ・屋外使用が可能 |
・他の通信機器などの影響を受けにくい ・隣り合ったチャンネルを同時に使っても速度低下がない |
・IEEE 802.11bと互換性があり一緒に使える ・対応機器が多い ・通信範囲がやや広い ・屋外使用が可能 |
・通信速度が速い ・通信範囲が広く、通信も安定している ・IEEE 802.11g/bと互換性があり一緒に使える |
| 短所 |
・通信速度が遅い ・同じ周波数帯の電子レンジやBluetoothなど他の通信機器の影響を受けやすい ・隣り合ったチャンネル同士は干渉して速度低下しやすい |
・通信範囲がやや狭い ・一部のチャンネルは屋外で利用できない ・一部のチャンネルは気象レーダーとの干渉を避けるため利用を制限されることがある |
・他の通信機器などの影響を受けやすい ・隣り合ったチャンネル同士は干渉して速度低下しやすいため同時に使えない |
・まだドラフト段階で最終的な規格が決まっていない ・対応機器がやや高価 |
| 用途 | インターネット閲覧、メールなど | 動画のストリーミング、オンラインゲームなど | 動画のストリーミング、オンラインゲームなど | 動画のストリーミング、オンラインゲーム、大容量ファイルおよびHDコンテンツの共有など |
- OFDM(Orthogonal Frequency Division Multiplexing:直交波周波数分割多重方式)
無線などで用いられるデジタル変調方式の一つ。地上波デジタル放送、IEEE 802.11aなどの無線LAN、電力線モデムなどの伝送方式に採用されている。FDM(周波数分割多重)では高速なデータ信号を低速で狭帯域なデータ信号に変換し周波数軸上で並列に伝送するが、OFDMではさらに直交性を利用し、周波数軸上でのオーバーラップを許容している。複数の搬送波を一部重なりあいながらも互いに干渉することなく密に並べることができることから、狭い周波数の範囲を効率的に利用した広帯域伝送を実現し、周波数の利用効率を上げている。 - DS-SS(Direct Sequence Spectrum Spread:スペクトラム直接拡散方式)
スペクトラム拡散の方式の一つで、デジタル信号を非常に小さい電力で広い帯域に分散して同時に送信するもの。通信中にノイズが発生しても、復元時にノイズが拡散されるため、通信への影響が少ない。また、強い信号を発生しないため、他の通信を妨害しにくい。耐障害性ではFH-SS(Frequency Hopping Spectrum Spread:周波数ホッピング方式)に劣るが、伝送速度が速く、多対一の通信に適している。無線LANのIEEE 802.11bがDS-SSを使用している(IEEE 802.11はFH-SSを使用)。携帯電話で使われているCDMA方式には、FH-SSとDS-SSと両者を混合したハイブリッド方式がある。