PR

 ケーブル配線を気にすることなくLANを手軽に構築できる無線LAN。便利な半面、セキュリティには十分な注意が必要です。無線LANでは、通信を盗み見られたり、無線LANルーターなどのアクセスポイント(AP)が不正に使われたりする危険性があるからです。

 無線LANを構築する際にセキュリティを高める機能は大きく4つあります。通信の暗号化、MACアドレスフィルタリング、ESS-ID隠ぺい、ANY接続拒否です(下図)。

【無線LANを安全に使うための機能は4つある】
拡大表示
無線LANには、通信データを盗み見られたり、無線LANルーター(アクセスポイント)を不正に利用されたりする可能性がある。無防備なまま無線LANを使うのは危険だ。暗号化など、無線LANで利用できるセキュリティ対策機能を有効に活用しよう

 このうち、通信の暗号化は必ず設定しましょう。無線通信を傍受されても中身を盗み見られる危険性が低くなるほか、暗号化に必要な情報を知っている人しかAPを使えないからです。

 無線LANで使える暗号化には3つの種類があります。WEP、TKIP、AESです。WEPは、APと子機のそれぞれに、「WEPキー」と呼ぶ同一の情報を設定して利用します。APや子機は、このWEPキーを元に、通信データを暗号化するための「暗号鍵」を作ります。多くの製品では、WEPキーの長さを64ビット、128ビット、152ビットから選択できます。WEPキーが長いほど解読が困難になるので、できるだけ長いWEPキーを使いましょう。

 ただ、WEPは、暗号化されたデータをある程度収集すると、通信内容を解読できてしまうという脆弱性が指摘されています。この点を改良したのがTKIP(ティーキップ)です。

 TKIPでもWEPキーを使いますが、暗号鍵の生成にWEPよりも複雑な計算を使うことや、暗号鍵を一定時間ごとに作り直すことで、セキュリティを高めています。TKIPの方がWEPよりも通信内容が解読される危険性は低くなります。

 AESは、米商務省技術標準局が標準技術として採用した暗号化方式で、TKIPよりもさらに暗号強度が高いと言われています。対応するAPや子機を持っているならAESを利用するのが望ましいでしょう。

 MACアドレスフィルタリングとESS-ID隠ぺい、ANY接続拒否は、通信の盗み見は防げませんが、APの不正利用を防ぐことができます。

 MACアドレスフィルタリングは、APに接続できるパソコンをMACアドレスで制限する機能です。MACアドレスは、無線LANカードなどLAN機器に割り振られている固有の番号です。1つのMACアドレスは世界中に1つしかないという特徴があります。

 ESS-ID隠ぺい機能は、その名の通りAPのESS-IDを見えなくする機能です。ESS-IDはAPと子機が通信するための識別子で、これがAPと子機の両方で合致しないと通信できません。Windows XPなどはAPのESS-IDを一覧表示する機能を持っていますが、ESS-ID隠ぺい機能を使うと、一覧表示機能から見えなくなってしまうのです(ESS -IDを直接入力すれば利用は可能)。

 ANY接続拒否機能は、ESS-IDに「ANY」(または何も入力しない)と設定している子機からAPへの接続を拒否するものです。APでANY接続を許可する設定のままにしておくと、そのAPをだれでも利用できてしまい、危険です。