PR

無線LAN抜きでは語れない

 今まで見てきたインシデント・レスポンスの仕組みでは,無線LANについては触れていない。無線LANは少し考え方を変えなければならないだろう。というよりも,セキュリティ面を考えると管理が非常に難しいと言わざるを得ない。有体に言えば導入しない方がよい。

 しかし,最近の高性能なノートPCは,別に使うつもりはなくても,しっかり無線LANインタフェースが付いていて,アクセスポイントをトラップで仕掛けられていたりすると,勝手にLANの一員にされてしまったりするリスクもある。となると,ワームが発生したときのインシデント・レスポンスも,無線LANを抜きにしては語れない。

 無線LANインタフェースを停止するのが一番楽だ。しかし,無線LANをそれでも導入する必要があるときは,とにかく無線LANはネットワーク上,別区画とする必要があるだろう。方法はVLANでも別LANとしてもよいが,有線と別区画とすることは必須である。

 有線無線の混在環境では,前述したような防水隔壁による封じ込めが困難になってしまうからだ。防水隔壁は,まずその有線無線を分けるLANポイント,VLAN分離ポイントに設置する。問題はローミングなどの場合だろう。

 ローミングとは,アクセスポイントを渡り歩くことを称するが,基本的にローミングを野放図に認めることは危険だ。折角封じ込めるための仕組みを構築しようとしているにもかかわらず,感染ノートPCを持ってアクセスポイントを渡り歩くということは,無線LAN全体に脅威をばら撒くということになる。

 ここでも例えばESSIDグループを作り,それを区画とする。区画には複数のアクセスポイントが存在するわけだが,それを封じ込めの対象とし,ファイアウォール・ブリッジを設置する。

 余談になるが,無線LANのセキュリティでは,物理的な隔離も問題になる。無線は文字通り,電波が届くところなら同じビルの違うフロアにいるテナントに接続できたり,高層ビル群の並びで接続できたりする。

 しかし,自社屋や郊外の企業組織ならともかく,「電波の届く範囲」「届かない範囲」という区分けと,それを考慮した構成にすることは,都会などでは難しい場合も多いだろう。とすると,アクセスポイントのトラップを設置されてしまったり,勝手にLANの状態をモニターされることは避けられない。

 アクセスポイントから先の無線LAN区画は,いっそのこと完全に外のインターネットと同等と考えるべきだ。とすると,アクセスポイントから内側の有線LANセグメントへのアクセスは,それこそVPNでも導入すべきだろう。

 VPNは作り方にもよるが,一般には盗聴されにくい暗号化通信であり,しかも認証が必要だ。全く油断できない無線LAN環境からのアクセスについては,そのくらいの警戒が必要だと思っておいた方がいい。

園田 道夫 Michio Sonoda

筆者は情報処理推進機構(IPA)の脆弱性分析ラボ研究員,および日本ネットワークセキュリティ協会(JNSA)の研究員を務める。JNSAではハニーポットワーキンググループ,セキュリティスタジアム企画運営ワーキンググループのリーダーとして活動している。MicrosoftのSecurity MVP。現在セキュリティ夜話(http://www.asahi-net.or.jp/~vp5m-snd/sec/),極楽せきゅあ日記(http://d.hatena.ne.jp/sonodam/)にて連続的に読み物掲載中。