「MACアドレスフィルタリング」の限界
対応機器が多種多様なため「どのような機器が接続されるかわからない」というのも、無線LAN環境で増大しているリスク要因のひとつだろう。近年、Androidをターゲットとした情報詐取アプリの存在なども社会問題化しており、社内ネットワークに接続できる「機器」を適切に管理することも、BYODへの対応を進める上で必要な課題だ。
この「接続機器を管理する」という目的のため、無線LANアクセスポイントなどが持っている「MACアドレスフィルタリング」機能を利用しているケースも多い。しかし、その際もいくつか考慮すべきポイントがある。
MACアドレスというのは、さまざまな機器に搭載されている「ネットワーク機器」に対して割り振られている固有の識別情報だ。このMACアドレスによって、アクセスポイントやネットワークに接続できる機器を制限することができ、ある程度のセキュリティを確保することは可能である。
ただし、このMACアドレスはソフトウェア的に偽装できることが知られている。つまり「不注意による不許可端末の接続」を防ぐことはできても、最初から不正を行うことを意図している攻撃者に対して、MACアドレスによるフィルタリングは効果が低いということになってしまう。
また、MACアドレスは基本的にハードウェアに対して割り振られているため、償却期間やリース期間を終えたPCの入れ替えを行ったり、1人に複数のデバイス利用を認めるBYODの実施を目指す場合には、その管理も煩雑になりがちだ。
セキュリティ上の強度や、その管理なども考慮に入れるのであれば、規模や運用形態に応じてMACアドレスフィルタリングだけでなく、「デジタル証明書」による機器認証IEEE802.1X EAP-TLSなども合わせて検討することを勧めたい。IEEE802.1X認証は、LAN接続時に使用する認証規格として定められており、PCやスマートデバイスも対応している。デジタル証明書を認証に利用することで、認証情報が偽装される可能性も非常に低くなり、さらには後述する「偽装されたアクセスポイント」も見破ることができる。
ポリシー策定やユーザー教育も視野に
BYODへの対応を前提とした、社内無線LAN環境の見直しというテーマで、今回は主にセキュリティの観点から、暗号化方式やMACアドレスフィルタリングについて、知っておくべき基本的なポイントを紹介した。しかし当然ながら、これら以外にも想定しておかなければならないリスクは存在する。
例を挙げれば、最近では「アクセスポイントの偽装」といった問題も出てきている。無線LAN対応機器の普及を受け、近ごろでは街中にも多数のアクセスポイントが見受けられる。そうしたアクセスポイントの中には、はじめから、そこに接続した端末の通信内容を傍受することを目的に用意された悪質なものも存在する。社員に対しては、特に業務に利用する端末について、こうした素性の分からないアクセスポイントに接続しないよう、教育を行っておかねばならない。
合わせて、BYODを認めるのであれば、業務に利用するPCやスマートデバイスに対して、ウイルス対策ソフトを導入したり、OSのセキュリティパッチを遅滞なく適用するといった形で、セキュリティ上の対策を行うことを徹底させる必要もある。これを実現する技術的な対策としては「検疫ネットワーク」を設けることなどが考えられる。社内ネットワークに接続する機器は、必ずこの検疫ネットワークを通過させ、義務づけられた対策を行っているかどうかのチェックを通過した場合にのみ、接続を認めるといった運用だ。
いずれの場合も、事前に行う企業としてのポリシーの策定、リスク評価、現状把握の結果によって、行うべき対策も変わってくる。BYODの検討をきっかけに、社内ネットワーク全体のセキュリティレベル向上を視野に入れ、無線LANを筆頭としたネットワークインフラの再点検を行ってみてはどうだろうか。
「おまけ的」なDHCPで業務の継続性が守れますか?-「NetAttest D3」で構築する堅牢なDHCP環境
一般的な無線LAN対応ルータ上で、よく利用されている機能に「DHCPサーバ」がある。DHCPは「Dynamic Host Configuration Protocol」の略。ネットワークに接続するコンピュータに対して、一時的にIPアドレスをはじめとする接続のために必要な情報を自動的に発行するプロトコルのことだ。
ある調査では、近年オフィスで使われているIPアドレスの60%以上が、DHCPを通じて発行されたものであるという。一方で、その発行を行っているDHCPサーバは、ルータや一般的なサーバOSに標準的に添付された、いわば「おまけ的」な機能を使って立てられているケースが多いのではないだろうか。
IPアドレスは、TCP/IPをベースにしたネットワークに接続するために必須の情報。万が一、DHCPサーバそのもの、もしくはDHCP機能を提供している機器に物理的な故障などが発生した場合、そのサーバからIPアドレスを振り出されていたデバイスはネットへの接続が不可能になる。無線LAN接続が当たり前のモバイルPCやスマートデバイスが業務用途に利用されるケースが増えている現状で、DHCPのトラブルによるネットワークからの遮断は、業務継続の観点でも、無視できないリスクになりつつある。
DHCPを、業務継続に不可欠なインフラと捉え、可用性を高めたいと考えるのであれば、ぜひ導入を検討したいのが、ソリトンシステムズが提供する「NetAttest D3」だ。
NetAttest D3(以下、D3)は、DHCPサーバ、DNSサーバの機能を統合したアプライアンス製品である。DHCP/DNSに特化した専用アプライアンスとして、性能面や可用性が十分に考慮されている。特に可用性については、アクティブ/スタンバイ構成による冗長化(最大4重化)が可能。万一、稼働中のD3に障害が起きた場合にも、最新の設定や稼働状況を引き継いたフェールオーバーにより、運用を継続することが可能になっている。様々な業務システムやコミュニケーションインフラがTCP/IPベースで稼働している現在、DHCPやDNSサーバの可用性を高めておくことは、BCP(事業継続計画)の一部としても重要なポイントとなるはずだ。
また、アプライアンスとして提供されるD3は、導入や日々のメンテナンスも非常に容易である。操作は日本語WebGUIから行えるようになっており、基本的な設定は初期設定ウィザードから簡単に済ませられる。バックアップはボタンクリックだけで行うことができ、脆弱性パッチの適用なども専用ファームウェアを適用すれば容易に行える点も特色となっている。ネットワーク環境の見直しの際には、DHCPやDNSの管理をNetAttest D3に集中させ、運用効率と可用性の向上を同時に実現することをお勧めしたい。
