法人の無線 LAN セキュリティ対策、たったひとつの冴えたやりかた | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2019.05.24(金)

法人の無線 LAN セキュリティ対策、たったひとつの冴えたやりかた

「正しい無線 LAN 環境はソリトンが広める」そう自任して積極的な情報発信と啓発活動を続ける男がいる。株式会社ソリトンシステムズ 宮崎 洋二だ。

研修・セミナー・カンファレンス セミナー・イベント
 「正しい無線 LAN 環境はソリトンが広める」そう自任して積極的な情報発信と啓発活動を続ける男がいる。株式会社ソリトンシステムズ 宮崎 洋二だ。

 昨年秋の本誌掲載、MAC アドレス認証の危険性について警鐘を鳴らした記事「MAC アドレス認証 これだけ危険 ~ Wi-Fi セキュリティ対策の誤解」は、記事配信から 6 ヶ月以上経つ本稿執筆現在もなお、記事ランキング上位ベスト 30 に居座り続けている。希なことである。

 日本の無線 LAN の現状を確認するために、昨 2018 年暮れに打った新たな一手は、小規模から SMB、大企業までを対象とした「無線 LAN 全国 400 社アンケート」の実施だ。

 アンケート結果の報告書公開日は折しもバレンタインデーの 2 月 14 日。無線 LAN 導入と運用に悩む企業へ宮崎が贈ったしゃれたプレゼントとして一読するのも一興かもしれない。

 ソリトンシステムズは、自社開発の認証系製品に定評のある国産セキュリティベンダーで、宮崎はそこで長年にわたって、認証サーバーや、イントラネットにおける認証ソリューションの開発にどっぷりと肩までつかってきた。その経験のなかで宮崎は、無線 LAN セキュリティへの巷に溢れる誤解や、危険な運用の実例を、そのつぶらな瞳に深く焼き付けてきた過去を持つ。

 無線 LAN 全国 400 社アンケートは、ソリトンシステムズのハウスリストを用いるとセキュリティ感度の高いパネルとなることを懸念、一般の調査会社に依頼し実施された。

 「アンケート調査結果のなかで唯一予想していなかったのは、一見、無線アクセスポイントのメーカーや機能差が導入のポイントとはなっていなかったことです(宮崎)」

 現在導入済みの無線アクセスポイントでは導入件数の多少が確認できるが、今後導入する予定のある無線アクセスポイントのメーカーとなると、「分からない 44.5 %」「今後導入する予定はない 36.4 %」がほとんどを占める。導入済みのメーカーが再選択される傾向はみられず、また特定のアクセスポイントのメーカーへの選好もないように見受けられた。

現在導入済みの無線アクセスポイント


今後導入する予定のある無線アクセスポイント


 宮崎はこの結果を、アクセスポイントのメーカーと無線 LAN 導入を行う SIer の長年の努力の賜物だと考える。多くのメーカーが機器の技術性能や価格性能を高めたのと同時に、導入を手がける SIer のサービスの質も向上。企業が抱いていた無線 LAN に対する不安や不満は払拭され、いわば「どれを選んでもある程度は満足できる」状態になっているため、ブランドや機能への選好が調査結果に表れなくなくなっていると分析する。

 無線 LAN を導入していない理由への質問で、「導入検討時間がないから」「高度な技術が必要そうだから」「有線 LAN と比べて通信品質が悪そうだから」といった項目への回答が少なかったことがそれを裏付ける。一昔前であれば企業無線 LAN 導入の阻害要因としてよく挙げられたはずである。

無線 LAN を導入していない理由(複数回答)


 このアンケート結果によれば、現在企業が無線 LAN を導入していない理由 1 位は、「セキュリティが心配だから 55.1 %」である(「必要性がないから」を除く)。以下「コストがかかるから 37.8 %」と理由は続く。無線LANを導入していない理由を単一回答で質問した場合は、回答者のセキュリティ懸念の傾向はいっそう顕著となった。

無線 LAN を導入していない理由(単一回答)


 無線 LAN への信頼が高まった現在において、セキュリティへの不安が導入を阻んでいることが分かった。確かに、企業においてセキュリティの確保は重要である。しかし過度に恐れる必要はない。実は企業の無線LANセキュリティ対策は、それほど難しいものではないからだ。

 先ず、家庭用の WPA2 パーソナル方式を用いるのは不適当であるから、WPA2 エンタープライズ方式を採用することになるだろう。WPA2 エンタープライズ方式は、ID とパスワードによる認証と、デジタル証明書を用いた認証のふたつに分かれる。ID・パスワード方式は、それを「知っている」人物で認証する。認証情報を知ってさえいれば、社員の私物持ち込み端末であっても接続可能となるため、完全な BYOD を認めている企業であれば ID・パスワード方式を採り、そうでなければ(端末で認証する)デジタル証明書を選択したほうが良い。判断基準は明確で、悩むようなポイントは無いようにも思われるが、「デジタル証明書を用いた認証を採用すべきケースであるにも関わらず、パスワード認証が用いられるケースが散見される(宮崎)」という。デジタル証明書の導入が進まない理由は何だろう。400 社アンケートは、その阻害要因の推定にも踏み込む内容となっている。

 それは、デジタル証明書を用いる WPA2 エンタープライズ方式に、ユーザー企業が持っているイメージだという。デジタル証明書には、「安全性が高く」「ユーザー負担が少ない」という利点の反面で、環境構築などの「導入負担」や、導入後の日々の「運用負担」などの情シス泣かせのポイントがあり、なおかつ「コスト負担」も高いという理解が、アンケート結果から浮かび上がった。

 「アンケート結果からは、どうやらデジタル証明書を用いた認証は、ユーザー側では安全性と利便性を両立するが、高度で複雑な認証システムが必要で情シスの苦労は絶えない…という先入観があるようです。コストは ID・パスワード方式と変わりませんし、導入や運用の負担は商品によりますので誤解といえます(宮崎)」

 「正しい無線 LAN 環境はソリトンが広める」そう自任する宮崎の今後の活動の中心は、この誤解を解くことになりそうだ。

 本稿で紹介した、400 社アンケートの詳細と、デジタル証明書を用いた企業向け無線 LAN セキュリティ対策の要諦は、3 月 6 日から 8 日まで東京で開催される、Security Days Spring 2019 の 3 月 6 日 (水) 14:15 からの宮崎の講演「無線LANが直面するセキュリティの課題 ~ 400社アンケートで見えた『陥りやすい3つの誤解』を解消」で詳しく解説される予定だ( 3 月 1 日 (金) 12:35~13:15 大阪でも講演される)。

 無線 LAN の性能や導入手順が向上すればするほど、無線 LAN はインフラ化し普及は進むが、インフラ化すればするほどブラックボックス化し、セキュリティ実現方法を確実に理解しようとすることがむずかしくなる。それによっていっそうセキュリティリスクに過敏になるサイクルが生まれる。まだ導入していない企業だけでなく、すでに導入した企業、導入から数年が経過し大過なく運用できてはいるが漠然とした不安を持つ企業にとっても役に立つ内容になるだろう。

 無線 LAN セキュリティの伝道師 宮崎の旅は続く。

(文中敬称略)
《高橋 潤哉( Junya Takahashi )》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊20年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×