[運用]
部内無線LAN導入実践講座（Windows XP編）（前編）

2．製品選びと設定、セキュリティのQ＆A

　ドラフト版（暫定規格）のIEEE 802.11nが、2009年7月に正式版になる予定だ。新規格に対応する製品は同じ周波数帯を使用する旧規格にも対応すると考えられるから、旧規格に対応する無線LANアダプタが急に使えなくなる事態はないだろう。

　価格を考慮すると、2.4GHz帯のIEEE 802.11b／gに対応する製品が無難だ。これであれば、たいていのPCやPDA、スマートフォン、ゲーム機などを接続できる。

　2008年初頭の時点でIEEE 802.11nにも対応した製品（IEEE 802.11b／g／n）が出回り始めているが、価格は高めになる。また、前述のようにIEEE 802.11n対応の無線LANアダプタを搭載したノートPCはまだ少ない。手元にIEEE 802.11nに対応したPCがある場合を除いて、IEEE 802.11n対応アクセス・ポイントの購入は正式な規格確定まで待ってもよいだろう。そのころには、IEEE 802.11n対応機器も価格低下が進んでいると考えられる。

　5.2GHz帯に対応した製品は比較的高価だ。しかし、高価な分だけ利用者が少なく、その分だけほかの無線LANからの電波干渉に悩まされないというメリットがある。価格が許容範囲内で、かつ対応機種が手元にある場合に限り、5.2GHz帯を選ぶ方法もある。

　アクセス・ポイントとクライアントが通信を開始する際に、最適な規格を自動選択する。例えば、アクセス・ポイントとクライアントの両方がIEEE 802.11b／gに対応していれば、高速なIEEE 802.11gが自動選択される。

　しかし、両者で対応規格が異なる場合には、遅い側の規格に合わせられてしまう。例えば、アクセス・ポイントがIEEE 802.11b／gに対応していても、クライアントがIEEE 802.11bにしか対応していなければ、そのクライアントとはIEEE 802.11bで通信することになる（ただし、このときに別のIEEE 802.11g対応クライアントとはIEEE 802.11gで通信可能）。

バッファローのUSB接続型無線LANアダプタ「WLI-U2-G54HP」

無線LANを内蔵していないPCでも、このアダプタをUSBで接続すればIEEE 802.11gの無線LANを利用できるようになる。

　無線LANアダプタを内蔵していないノートPCでも、PCカード・スロットを備えている場合が多い。その場合、アクセス・ポイントとPCカード・スロット用の無線LANアダプタがセットになっている製品を購入すればよい。ノートPCの台数が多いときには、さらに単品売りのPCカード型無線LANアダプタを買い足す。PCカード・スロットを備えていないノートPC、あるいはデスクトップPCを使用する場合は、USBコネクタに接続するタイプが手軽でよいだろう。

　もともと、LANをインターネットと接続するためにブロードバンド・ルータが必要になるので、1台の機器で用が足りるように、ブロードバンド・ルータと無線LANアクセス・ポイントを一体化した製品が多い。これがいわゆる「無線ルータ」だ。しかし、無線ルータでも単なるアクセス・ポイントとして機能するから、すでにルータがある場合でも無線ルータを購入してよい。

　通信可能な距離が100mほどあるので、その範囲内であれば屋外からでも通信できてしまう。そのため、外部からの傍受や接続が可能になってしまうことから、さまざまなセキュリティ対策を必要とする。しかし、最新のセキュリティ規格を利用していれば、簡単に侵入されることはないだろう。

電波に戸を立てることはできない点を忘れずに！

正規のクライアントが網掛けの範囲内にしか存在していなくても、アクセス・ポイントを中心とする半径100mの範囲内では通信できると考えるべきだ。その範囲内に不正侵入者がいる可能性は常に存在する。

　無線LANのセキュリティ対策は、2種類に大別できる。1つは、「電波を傍受されても内容が分からないようにするための対策」で、暗号化のことだ。もう1つが「正規のクライアント以外は接続できないようにするための対策」で、クライアントのMACアドレスをアクセス・ポイントに登録して接続を制限する方法のことだ。また、現時点で主流となっているセキュリティ規格「WPA」では、アクセス・ポイントとクライアントの双方に事前共有鍵と呼ばれる文字列を設定して、両者が一致した場合にのみ通信を許可する仕組みになっている。これも、正規のクライアント以外からの接続を防ぐ対策といえる。

　外部からLANに自由に接続できてしまい、ファイル・サーバに保管しているファイルを盗み出したり、あるいは書き換えたりする事態が考えられる。

　また、LANを通じてインターネットに接続したうえで、不正侵入やスパム・メール送信などの悪事をはたらく可能性もある。その場合、相手側からは無線LANの持ち主が悪事をはたらいたように見えるので、身に覚えのない濡れ衣を着せられてしまう。

　「通信するための規格」と「通信の安全を確保するための暗号化規格」は独立しているので、それぞれの中から1つずつ選んで組み合わせる。最もポピュラーな組み合わせは、IEEE 802.11b／g（2.4GHz帯）とWPA-AESの組み合わせだろう。MACアドレスによるアクセス制限については、どの組み合わせとでも併用できる（セキュリティの各規格や機能については、後編で解説する）。

無線LANの通信規格とセキュリティ規格は独立している

通信規格とセキュリティ規格の関係を図にしてみた。両者が交わる点の中から、どれか1つを選択して利用することになる。各セキュリティの規格については、後編で解説する。

　有線LANは、ケーブルを接続するだけで通信可能になる（実際には、さらにTCP/IPの設定を行わなければならないが）。しかし無線LANは電波を利用するために混信対策が必要で、さらに先に述べたような事情からセキュリティ対策も必要になる。それが、設定しなければならない項目が増えて面倒になる理由だ。

　大まかに設定項目を分類すると、以下のようになる。

設定項目	概要
通信方式	周波数帯とチャンネルの選択、ESS-IDの指定
セキュリティ設定：盗聴防止	暗号化方式の選択、暗号化キー（ネットワーク・キーまたは事前共有鍵）の指定
セキュリティ設定：アクセス制限	MACアドレスの登録
無線LANの設定項目の大分類

　これらの関係は、以下の図のようになる。

無線LANの設定にかかわる3分野

無線LANの設定には、「通信を成立させるための設定」「盗聴防止のための設定」「登録したクライアントだけに通信を許可するための設定」の3分野がある。

　これらの設定を行うと、「有線LANでケーブルをつないだ状態」と同じことになる。さらにTCP/IP関連の設定（後述のコラム参照）を行うと、LAN、あるいはインターネット接続の利用が可能になる。

　慣れないうちは、段階的に設定するようにしよう。まず無線LANで通信を成立させるための設定を行い、正しく通信できることを確認する。次にセキュリティ関連の設定を行う。こうすれば、もしも通信できなくなった場合でも、どの段階で通信ができなくなったかが容易に分かり、原因を突き止めやすい。

TCP/IPの設定は有線LANと変わらない
　無線LAN機器の取扱説明書には、無線関連の設定だけでなくTCP/IP関連の設定方法も併記されているので混乱しやすいが、本来これらの設定は独立したものだ。すなわち、TCP/IP設定に際しての考え方は、有線LANでも無線LANでも変わらない。具体的にいうと、以下のような内容だ。このうち「2.」〜「4.」については、ルータが内蔵するDHCPサーバ機能によって自動的に実現できる。

1. インターネットとの境界に設置するルータに、インターネット接続のために必要な設定を行う。クライアントPCにはそれぞれ、重複しないIPアドレスと、同一のサブネット・マスクを設定する。デフォルト・ゲートウェイとして、ルータのLAN側IPアドレスを指定する。
2. DNSサーバ・アドレスとして、ルータのLAN側IPアドレスを指定する。
3. デフォルト・ゲートウェイとして、ルータのLAN側IPアドレスを指定する。
4. DNSサーバ・アドレスとして、ルータのLAN側IPアドレスを指定する。

　これらのTCP/IP関連の設定については本稿の対象範囲を逸脱するため、これ以上の解説は割愛させていただく。

アクセス・ポイントのTCP/IP設定画面の例

これはNECアクセステクニカ製アクセス・ポイントWR7800Hの設定画面の1つ。アクセス・ポイントが内蔵するルータ機能について、LAN側IPアドレスとサブネット・マスク、DHCPサーバ機能の使用・不使用、使用する場合のアドレス割り当て範囲、DNSサーバ・アドレスの設定を行う。ほかの機種でも、設定内容は似たようなものだ。