PR

■Windowsネットワークに無線LANを導入することで,社内のクライアント・ユーザーの利便性を高められる。ただし,セキュリティを確保しておく必要がある。
■従来からあるSSIDやMACアドレス・フィルタリングではなく,WEPやWPA,WPA2といった暗号方式を採り,なおかつRADIUSサーバーを設定することで,高度なセキュリティを実現できる。
■無線LANの標準規格の種類や,セキュリティの考え方を前半で解説し,後半は具体的な設定作業を紹介する。

(2006年1月号「すぐできるWindowsサーバー強化術」より)

(山岸 真人,櫻井 敬子=NTTデータ先端技術)


 Windowsネットワークに無線LANを採用すれば,ケーブルが無いため配線作業が不要になり,物理的な制約を受けにくくなる。配線が難しい古い建物や賃貸物件なども,無線ならネットワークを構築できる。あるいは無線LANにアクセスしたまま,ノートPCを自分の机から会議室へ持ち運ぶのも簡単だ。

 しかし,同時に抱えるリスクは計り知れない。無線LANではデータは電波で送受信される。電波は当然フロアの外まで流れるため,LAN内を流れるデータはすべて外部に公開されてしまう。例えば,ファイルをサーバーにコピーしたとしよう。情報はそのまま無線LANを流れ,顧客情報の漏えいに発展するかもしれない。無線LANにはこれまで以上に高度なセキュリティの確保が必要となる。Windowsと無線LANアクセス・ポイント(AP)が持つセキュリティ機能を組み合わせることで,すぐに情報漏えいを防げる。このような連携は他のOSでは難しいが,Windowsではより簡単により強固なセキュリティを実現できる。今回は,無線LANのセキュリティに関する基礎知識と設定方法を説明する。

高速通信できるものは2方式
 無線LANの主な標準規格には「IEEE 802.11a」「IEEE 802.11b」「IEEE 802.11g」——がある。IEEE 802.11aは,最大通信速度が54Mビット/秒と最も高い規格の1つである。周波数帯が5.2GHzなので,他の用途との混信が低いことが期待できる。しかし,高速道路のETC(自動料金収受システム)と同じ周波数帯なので,同規格の屋外利用は禁止されている。データ伝送距離は12メートルと他の規格の30メートルに比べて短い。

 IEEE 802.11gも同aと同じく,最大通信速度が54Mビット/秒と高い。周波数帯が2.4GHzなので,同aに比べて電波が物陰に回り込みやすく,データ転送距離も30メートルと同aに比べて2倍以上長い。IEEE 802.11bは,最大通信速度が11Mビット/秒と1世代前のイーサネットである10Mビット/秒と同程度に低く,規格としても古い。

 いずれも仕様にある最大通信速度は,理論的な最大値であって,実際の平均的な通信速度はこれよりも半分程度低い値になる。原因は,無線データへの変換時に発生するデータ的,機械的オーバーヘッドである。

SSIDとMACアドレス・フィルタリングは時代遅れ
 無線LANが実装しているセキュリティ機能にも,様々な規格が存在している。どのような規格が存在しているか整理しておこう。

 まず,無線LANが普及する初期に導入されたセキュリティ機能は「SSID(サービス・セット識別子)」(ESS-IDとも呼ぶ)と「MAC(メディア・アクセス・コントロール)アドレス・フィルタリング」の2つである。しかし,どちらもセキュリティと呼ぶには不十分と言える。

 SSIDとは,無線LANのAPに付ける固有名で,これによってAPへのアクセスを制御する仕組みだ。しかし,残念ながら無線で流れるデータを防御できるわけではない。SSIDは無線の盗聴や,クライアントが持つ無線LANの設定ソフト(サプリカント)が持つ機能によって,あっさり判別されてしまう。文字通りAPを使い分けるための識別子としてしか機能しておらず,セキュリティ向上の役割を果たしていない。

 MACアドレス・フィルタリングも,APを経由してのネットワークへの侵入は防げるが,電波の盗聴は防げない。さらに,MACアドレスが偽装されてしまえば,意味を持たない。

 問題点は2つある。1つ目は,電波そのものは誰でも受信できてしまうこと(電波盗聴)。それを解決するには暗号化しかない。2つ目は,APにおけるクライアント認証がぜい弱なこと。悪意あるユーザーが侵入できないような,しっかりした認証が必要である。

 電波盗聴対策としては,「WEP(ワイヤード・エクイバレント・プライバシ)」という暗号化規格が従来から使われてきた。WEPではWEPキーという10文字程度の文字列でデータを暗号化し,データの読み取りを困難にしている。しかし,解読方法も存在しており,暗号化強度に不安が残る。この問題への対策には「ダイナミックWEP」という技術がある。

 APにおけるぜい弱な認証への対策としては,より強固なユーザー認証規格「IEEE 802.1x」がある。これはRADIUS(リモート認証ダイヤルイン・ユーザー・サービス)という認証方法を採用したものだ。Windows Server 2003では,ドメイン・コントローラ(DC)に「インターネット認証サービス(IAS)」をインストールすることで,RADIUSの機能を提供できる。

 他にも,認証から暗号化まですべてのセキュリティを実現した「WPA(Wi-Fi保護アクセス)」や,それを進化させたWPA2が登場してきた。企業が無線LANを導入する場合には,少なくとも認証と暗号化の機能を備えていることが望ましい。すなわち,WPAやWPA2に対応した製品を選定したい。

双方向認証のPEAPやTLSがお薦め
 WPAやWPA2の規格では,IEEE 802.1xによる「ユーザー認証」がうたわれている。従来のハードウエア的な認証ではなく,ユーザー情報で行うようにしたのが特徴だ。認証には,ユーザー名とパスワードを送るが,平文で流していては認証の意味がないので,暗号化が必要になる。

 IEEE 802.1xでは,クライアントと無線LANのAPとの間の認証プロトコルに,いくつかの規格がある。この中には,認証を暗号化するために証明書が必要なものがある。証明書にはクライアント証明書とサーバー証明書の2種類がある。

 暗号化のパスワードが漏えいしないように,クライアントへも証明書を配布して双方向認証をしているのだ。Windowsで双方向認証を実装する場合は,クライアント証明書付きの「PEAP(保護された拡張認証プロトコル)」と「TLS(トランスポート・レイヤー・セキュリティ)」について理解しておけば十分だろう。