オフィスの無線LANセキュリティで押えておくべき「4つの常識」

ネットワークは、企業活動における重要なインフラであり"問題なく動いていて当然"のものとなっている。止まったり遅くなったりしようものなら問題となり、IT部門の責任が問われてしまう。また、近年の大きな変化として、企業ネットワークにモバイル端末が参加してくることで無線LANの利用が急増しており、セキュリティ上の懸念も高まっている。こうした時代に求められる企業ネットワーク環境とはどんなものなのかを探ってみよう。

数年前の認識では危険! 無線LANの「新常識」とは?

 スマートフォンやタブレット端末などのモバイル端末をビジネスに活用する企業が多くなって。PCでも、ここ数年の間にウルトラブックやタブレットPCといった薄型軽量のモデルが普及し、モバイル利用が盛んになっているほか、オフィスレイアウトの自由度も格段に向上している。こうした小型軽量の端末がビジネスシーンで存在感を強める中で、社内ネットワーク更改の一環として無線LANインフラの整備に取り組む企業も増えてきた。中には、オフィスのフリーアドレス化などを進める中で、無線LANを社内ネットワークの基本とするケースもある。今後は有線LANと同じく無線LANも、普通の企業なら当たり前のように用意するインフラという位置付けになるだろう。

 一方、普及するにつれて浮かび上がってくる課題もある。どのようなテクノロジーでも、ユーザー層の拡大に伴って、当初あまり顕在化していなかった問題が目立つようになってくる。無線LANにおいても同様で、とりわけ通信品質やセキュリティが大きな課題となりつつある。それゆえ、「もう無線LANのことなら知っている」と思う方こそ、過去の常識に囚われていないかどうか、改めておさらいしてほしい。

 無線LANにおける、「常識」として改めて押さえておくべきは、以下の4つだ。

常識1家庭向け無線LANアクセスポイントでは、電波干渉軽減ができない

 限られた一部のユーザーだけが無線LANを利用していた頃なら、家庭向けの無線LANアクセスポイントでも大きな問題はなかったかもしれない。しかし、ユーザーが増加し、一人のユーザーが複数の端末を利用することが珍しくなくなってくると、小規模アクセスポイントでは収容しきれなくなる。一般的な小規模アクセスポイントの場合、同時に利用できる限度は数台程度。それ以上の台数では、接続できても安定した通信を期待できなくなってくる。

 そこで必要になってくるのが法人向けのアクセスポイントだ。法人向けの無線LANソリューションなら、集中管理された多数のアクセスポイントを配置することができ、収容可能な端末数を増やすと同時に、隣接するアクセスポイントのチャネルを変えて電波干渉を軽減することができる。こうした機能は家庭向けの製品に搭載されておらず、法人向けアクセスポイントならではだ。ユーザーの密度が高い企業オフィスにおいては、電波の干渉軽減機能は重要であり、法人向け無線LANアクセスポイントを提供する有力ベンダー各社とも、それぞれ独自に工夫して効率的に管理できるようにしている。

常識2「WPAパーソナル」は不十分、認証サーバ連携が可能な「IEEE 802.1X EAP認証」を

 電波は拡散するものであり、無線LANの電波も例外ではない。差込口にLANケーブルが刺さらなければ通信が始まらない有線LANとは違って、無線LANの電波は社外にも届く可能性があり、盗聴や不正侵入への懸念は常に残る。この問題に対する考え方は、無線LANが普及し始めた頃から変わっていない。盗聴に対しては暗号化で、不正侵入には認証・識別機能により実現するというものだ。


無線LANの安全面 運用面での課題

 その考え方は大きく変わっていないが、情勢が大きく変わりつつあることから、常識が変わってきているのである。

 こうした暗号化や認証機能は規格として標準化されており、ほとんどの無線LANアクセスポイントは、家庭向けでも法人向けでも同様に備えているが、法人向け無線LANソリューションのみ対応している機能がある。それは、「IEEE802.1X EAP認証」、すなわち外部認証サーバとの連携機能だ(設定画面上では「WPA2-エンタープライズ」などと表記されていることもある)。

 家庭向けアクセスポイントでは一般的に事前共有鍵(PSK:Pre-Shared Key)での認証が用いられているが、この認証に用いるパスコードはユーザー全員に共通であり、言うなれば同じ合鍵を全員に配っているようなもの。もしパスコードが外部の人間に知られたら、合鍵が他者の手に渡ったようなもので、そのアクセスポイントへ自由に接続できてしまうことになる。また、例えば端末の紛失や盗難などが発生した場合、電波が届く範囲に入ると自動的に繋がってしまうし、パスコードを抜き出される可能性もある。安全な状態を維持するためには、いちいちパスコードを変更して全員に周知させなければならない。またユーザーが退職した場合も、同じく変更と周知が必要だ。これらの変更や周知には、管理者の負担が生じるだけでなく、エンドユーザーにとっても変更のたびにネットワークを利用できない期間が生じるため、利便性の上でも大きな問題だ。

 これに対して、外部認証サーバ連携ではユーザーごとに固有の認証情報を用いることができるため、PSK方式でみられた問題を避けることができる。スマートフォンは会社貸与でなくBYOD(Bring Your Own Device)を実施する企業も多いが、そのような会社が全てを管理することのできない端末が混在する場合でも、一定のセキュリティ水準を比較的容易に保つことが可能だ。また、認証サーバに記録されているログを確認することで、各ユーザーアカウントの利用履歴も把握できるようになるため、より高度なガバナンスを実施することもできる。

インフォメーション
関連記事
提供:株式会社ソリトンシステムズ
[PR]企画・制作 朝日インタラクティブ株式会社 営業部  掲載内容有効期限:2017年4月30日