この連載では、企業がBYODの潮流に向き合うにあたり、見落とされがちだが重要なポイントについてまとめている。2回目となる今回は「無線LAN」が抱える特有のセキュリティリスクについて考えてみたい。
今となっては信じ難い話だが、かつてのオフィスでは「基本は有線LANに接続されたデスクトップPCを使う。モバイルPCを支給されている部署ならば、会議室などでは無線LANも利用可」といった使い分けが標準的だった時代がある。しかし、この状況は大きく変わった。
オフィスで使われるPCに占めるモバイルPCの割合は増え、最新の「ウルトラブック」やMacBookなどには、有線LAN用のポートを搭載しないものも増えている。社内ネットワークへの接続手段は「無線LAN」を使うのが主流となりつつあるのが現実であり、そのインフラが業務に与える影響も増している。
モバイルPCだけではない。スマートフォンやタブレット、さらには携帯ゲーム機など、特にここ数年のうちに、Wi-Fi規格の無線LAN機能を持ったデバイスが、急速な勢いで市場に行き渡り、無線LANは身近なものになった。こうしたデバイスは、会社として社内ネットワークへの接続を認めているかどうかにかかわらず、常に「社員の私物」として、企業内に持ち込まれている。BYODへの対応を考えるのであれば、無線LANの利用ルールと、それを徹底させるための技術的な実装について、改めて見直しておく必要がある。
危険な「無線LAN」が残っていないか
無線LAN環境でのリスクとして、まず思い浮かぶのは「盗聴」と「不正アクセス」の可能性だろう。電波が届く範囲内であれば接続可能というのは手軽である一方、社内ネットワークへの接続を許可する適切な「認証手段」が別に確保されていなければ危険性は飛躍的に増大してしまう。
無線LANに接続する際の認証には、一般家庭で利用するような共通パスワードによる接続認証は避けたい。共通パスワードにすることで、無線LANアクセスポイントでのユーザーやデバイスの識別が困難になる。会社で無線LAN環境を整備するのであれば、ユーザーやデバイス毎に異なる認証情報を利用して認証することが望ましい。
通信内容を暗号化する機能にも、チェックすべきポイントがある。暗号化の「方式」だ。無線LANの暗号化技術としては、その発展の経緯から「WEP」「WPA」「WPA2」など、複数の方式が存在する。市販されている無線LANルータや接続デバイスの多くは、これらの方式に対応しているはずだ。
セキュリティ面での強度で言えば、「WEP」による暗号化は、現在ほぼ意味を成さないものとなってしまっている。この方式で暗号化されたデータを解読するのは、市販のノートPCクラスの処理能力でも数秒で可能な状況になっており、今後Wi-Fi規格においてもWEPの使用は認められなくなることが決まっている。
WEPのセキュリティ上の問題を解決するため、その後より強力な暗号化を行うWPAが使われるようになったが、その暗号化プロトコルであるTKIPについても解読可能性が指摘されており、現在では、特にセキュリティ面を考慮した場合、より強力なAESアルゴリズムをベースにした暗号化プロトコルを用いたWPA2が主流となっていく状況にある。
社内のシステム管理担当者の知らないところで、セキュリティ知識の乏しい社員によって設置された「野良アクセスポイント」では、こうした危険な設定が残されたままになっている可能性もある。BYODへの対応を機に、改めて社内における無線LAN環境について、調査と把握を行っておくべきだろう。