【トレンド解説】


WEPに変わる暗号手段、WPAとは?
〜IEEE 802.11iとWPA〜


鈴木淳也
2003/6/27

無線LANの利用が盛り上がるとともに、一方でセキュリティの問題が大きく取り上げられてきた。その結果、無線LANのセキュリティはSSID、WPAとして、急速に進み、いまやネットワーク全般のセキュリティ技術の進歩を後押しするかたちとなっている。無線LANのセキュリティにまつわる最新情報のレポート。エンタープライズで多用されるソリューション、WPA+IEEEiとは?

 低価格化/高速化が進み、ケーブリングなしで手軽にネットワークを構築できる無線LANは、ここ数年で瞬く間に広がりを見せた。それまでは、無線以外でネットワークを構築できない工場などの特殊用途や、一部のプロフェッショナル・ユーザーだけが使用していた製品が、一般のオフィスにも普通に導入されるようになってきたのだ。

 だがそれと同時に、セキュリティ上の問題も広く指摘されるようになった。有線LANとは異なり、無線LANでは電波さえ通ればオフィスの内外関係なくアクセスが可能なため、利用者にとっては便利な半面、特にセキュリティ対策を施されていないシステムでは、外部ユーザーにとって格好の侵入/盗聴のスポットにもなる、もろ刃の剣なのだ。

無線LANとセキュリティ

 無線LANが抱える問題の1つは、無線ゆえに通信内容が筒抜けという点である。有線LANであれば、ネットワークに直接接続しない限り、通信データの傍受は難しい。しかし、無線LANであれば、外部から通信データの傍受をすることは容易である。基本的に、イーサネットやTCP/IPの通常の通信には暗号化などは行われていないフラットなデータが流れているので、これは非常に危険だ。

 無線LANでは、何段階かのアプローチでセキュリティの強化を行っている。一番基本となるのは、SSIDと呼ばれるID認証だ。無線LANクライアントは、ある無線LANアクセス・ポイントに接続する場合、そこで登録されているSSIDを提示しないと通信できないようになっている。だがWindows XPなどのOSや一部のツールを使えば、近くで接続可能なアクセス・ポイントならびにそのSSIDを自動的にリストアップすることが可能なため、SSID自体はセキュリティとしての機能を持たないといえる。もちろん、XPなどによる自動検出を防ぐことも可能だが、通信自体は特に暗号化されないため、その意味での効果は期待できない。

 そこでSSIDの弱点をカバーするために、無線LANアクセス・ポイントではMACアドレスによる認証機能を備えていることが多い。これは、あらかじめ登録されたMACアドレスの無線LANクライアントしか接続できないようにするものだ。これで、未知のクライアントからのアクセスを防止できるようになる。しかし、当然ながら暗号化の機能は持たないため、ほかの技術と組み合わせることが前提となる。

 次に使用されるのがWEP(Wired Equivalent Privacy)と呼ばれる暗号化技術だ。WEPでは、40bitまたは128bitの暗号化キーが用いられる。現在では、40bitは暗号としての強度の問題もあり、128bitのものが搭載されているのが一般的なようだ。だが、それでも完全ではない。一部では、WEP自体の脆弱性も指摘されており、万能の暗号化手段として活用するのは難しそうだ。

IEEE 802.11iの登場

 このように発展してきた無線LANのセキュリティ技術だが、特にエンタープライズの分野において、現在では複数のソリューションを組み合わせるのが一般的なようだ。具体的には、上記までに列挙した手段は当然として、

  • VPN
  • ユーザー認証

といった、上位レイヤの暗号化やアクセスしているユーザーの正当性までを、きちんと証明する必要があるということだ。

 現在標準化が進められているのが、IEEE 802.11iと呼ばれるセキュリティ規格だ。IEEE 802.11という名称から分かるように、これは無線LAN用のセキュリティ規格である。IEEE 802.11iでは認証の部分がキモとなっており、主にその手段を規定するものとなっている。

 より具体的に解説しよう。エンタープライズなどの多くのユーザーが同時にアクセスするような環境では、IEEE 802.1xの認証技術を用いるように推奨されている。IEEE 802.1xでは、Authentication Serverというユーザー情報を管理し認証を行うサーバが用いられるが、アクセス・ポイントはユーザーから無線LAN経由でアクセスがあった場合、一度このAuthentication Serverでユーザーの正当性を確認してから有線LANへの中継を行うようにする。こうすることで部外者の不正アクセスを防止できるほか、社員からのアクセスであっても、人事情報といった不特定多数ユーザーにアクセスされては困るような情報に関しては、ネットワーク的にブロックを掛けることも可能になる。

 また逆に、ユーザー側から接続先となるアクセス・ポイントの正当性を確認することも可能である。これにより、アクセス・ポイント側のなりすましを防止することができる。このような相互認証の仕組みは、EAP(Extensible Authentication Protocol)というプロトコルで規定されている。

WPAはIEEE 802.11iのサブセット

 上記で紹介したIEEE 802.1xだが、実はWEPと組み合わせることが可能だ。説明のように、IEEE 802.1xで提供するのは認証とアクセス・コントロール機能なので、そのままでは通信内容の秘匿性を保つことはできない。当然、暗号化技術と組み合わせることが前提となる。

 実際、エンタープライズ用途として無線LANを導入する場合、セキュリティを非常に考慮した企業の中には、IEEE 802.1xの技術を組み込んだシステムを検討することが多かったようだ。その際に用いられたのが、WEP+IEEE 802.1xというソリューションだ。

 ただ前出のように、WEP自体はセキュリティ上の脆弱性がすでに指摘されている。そこでIEEE 802.11iでは、WEPに代わる暗号化手段としてWPA(Wi-Fi Protected Access)という新しい暗号化技術を提案している。IEEE 802.11iに関してはまだ規格の策定が進んでいる真っただ中だが、WPAに関してはすでに2002年末の時点で標準化が完了しており、2003年4月には各社から無線LANアクセス・ポイントの新製品や従来製品用のアップデータの提供が始まっている。

 Wi-Fiフォーラムとしては、WPAをこれから登場するIEEE 802.11iのサブセットと位置付け、WEPを次第に置き換えていく技術ととらえている。すでに製品のWPA対応が始まっているうえ、2003年夏からはIEEE 802.11a/b/g製品への搭載が必須になることからも、WEPの自然消滅は時間の問題というのが確実視されるところだ。


 数年前、無線LANがブームになり、パワーユーザーや一部先進企業だけでなく、各一般企業への普及が始まったころ、管理のずさんなネットワークがまん延したことから、無線LANの導入は危険だという論調が強まった。特にある官公庁でデータが筒抜けだった事例があったことから、とりわけ新聞媒体によって大きく取り上げられたことが記憶に新しい。

 個人的には、ややヒステリックな情勢だったと考えている。セキュリティ設計が甘いネットワークは論外だが、無線LAN自体の可能性を否定するような報道には疑問がある。唯一意味があったとすれば、一般ユーザーというよりも、むしろ業界全体にセキュリティに対する危機感を抱かせたことだろうか。

 WPA対応の迅速化に見られるように、メーカー各社が特にセキュリティ対応に敏感になったことで、無線LANが基本的インフラとして機能するきっかけになったと考える。

「Master of IP Network総合インデックス」

@IT Special

- PR -

TechTargetジャパン

Master of IP Network フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

イベントカレンダー

PickUpイベント

- PR -

アクセスランキング

もっと見る

ホワイトペーパーTechTargetジャパン

注目のテーマ

Master of IP Network 記事ランキング

本日 月間
ソリューションFLASH