自社構築した無線LANに不正アクセス！？運用開始前に考えておくべきWi-Fiセキュリティとは

登場人物

◆名前：Joshisu Man
（ジョーシスマン）
◆本名：有泉丈二
（ゆうせんじょうじ）
◆職業：ヒーロー

◆名前：Dr. Protocol
（ドクター・プロトコル）
◆職業：科学者
◆趣味：ネットワーク障害を起こす

◆名前：- -（にのまえはじめ）
◆職業：会社員（情シス担当）
◆弱点：専門的なIT知識を問われること

◆名前：多田野部長
（ただのぶちょう）
◆職業：会社員（役職者）

前回、無線LAN（Wi-Fi）構築に何とか成功した、ひとり情シスの“にのまえはじめ”。彼と同様に苦戦しながらも無線LAN環境を自社構築した情シスマンもいるだろう。しかし、接続・運用までこぎつけたとしても、セキュリティは大丈夫だろうか。有線LANと違い、電波の届くエリアにいれば誰でも接続できてしまうからこそ、運用開始前に考えておくセキュリティのポイントがある──

と、とりあえず…
無線LAN環境は何とか構築して、接続もできたぞ…（パタリ）

はじめくん、お疲れ！
じゃあ早速キミの無線LANで遊んでみるゾ！

うげぇぇぇ！何でこんなタイミングで来るんですか！
やめてくださいよ！帰ってくださいよ！

クククク…ッ！セキュリティはどうかなー？
お？やっぱり覚えやすそうなパスワードにしてるナ！
これなら突破できそうだゾ！

うげげげ！ちょ、ちょ、ちょーっとすとーっぷ！
どどどどどどうしよう！？どうしよう！？

無線LANのセキュリティで困っている、そこのキミ！

じょ、JoshisuManさん！ナイスアフターフォロー！
初心者にはこれがなくっちゃ！

お前なァ…そろそろ一人立ちしても良い頃だぞ…
って、今は説教している場合じゃないな！

【調査】～MISSION！～

1.構築した無線LANのセキュリティに自信がない
2.運用開始する前にセキュリティ対策が適切かチェックしたい
3.とにかく無線LANのセキュリティに関して何もわからない

無線LAN環境で行うべきセキュリティ対策はこの３つだ！

【対策】～TAKE STEPS！～

1.暗号化
2.ユーザ認証
3.ネットワークの分離

有線と違って無線で通信をするというのは、誰でも電波傍受できるエリアにいれば、通信されている情報の中身を見ることができてしまう盗聴の脅威があるということ。
そこから社内ネットワークへ不正アクセスされてしまい、重要データを改ざんされたりする脅威にもつながる。
そのようなセキュリティリスクに必要な対策がこれだ！

セキュリティリスク	防ぎたいこと	対策
盗聴	無線通信しているデータそのものが盗み見られこと	暗号化
不正アクセス	無線環境から社内ネットワークへ侵入され、機密情報へアクセスされること	ユーザ認証
不正アクセス	無線環境から社内ネットワークへ侵入され、機密情報へアクセスされること	不正アクセス	無線環境から社内ネットワークへ侵入され、機密情報へアクセスされること	ネットワークの分離

まずは「暗号化」。
もしやりとりしている通信を盗聴されたとしても、暗号化しておけば、情報の中身を見られるのを防ぐことができる。

あのぉ…このWPA2とかAESって何ですか？
セキュリティの強さみたいなものですか？
ハンターランクみたいな？

WPA2は無線LAN通信を暗号化して保護する基準を定めた「暗号規格」。
AESは「暗号化方式」といって、簡単にいうと暗号化のやり方だ。
通常、暗号規格では最適な暗号化方式を1種類採用していることがほとんどで、新しく出てきたもののほうが当然セキュリティレベルは高い。
現在はWPA2-AESが一般的に使われている。

下図の暗号規格、暗号化方式は
右にいくほど新しくセキュリティレベル高い

下図の暗号規格、暗号化方式は
下にいくほど新しくセキュリティレベル高い

暗号規格	WEP	WPA	WPA2
暗号化方式	RC4	TKIP	AES

※WEPは上記の中で最も古い規格でセキュリティレベルも低いため、現在はほぼ使われていない
※WPA2はWPAを改良した規格

なるほど…
セキュリティの脅威は日々新しいものが出てきているので、対策もどんどん新しくしていく必要があるんですね！

次に押さえておきたいのが、「ユーザ認証」だ。
誰でも接続できてしまうままだと、盗聴や不正アクセスの温床になるからな。
SSID（アクセスポイントを識別する名前）と暗号化キー（SSIDごとの共通パスワード）を設定して、両方を知っているユーザのみがアクセスできるようにしておく

それだけで大丈夫なんですか？
共通のIDとパスワードだと誰か1人でも漏えいさせてしまったら大変ですね…

より高いセキュリティレベルを求めるなら、ユーザごとに固有IDとパスワードを設定しておくといいだろう。
また、MACアドレス認証を追加したり、ステルスSSID機能を利用するのも有効だ ※ステルスSSID：Wi-Fi接続時に自動的に検出されるSSID候補リストに表示させない機能。接続する際には、自らSSIDを入力する必要がある。

なるほど、ユーザ認証も複数の対策を組み合わせることでセキュリティレベルをあげられるんですね！

あとは「ネットワークの分離」だな。
社内ネットワークにアクセスできるWi-Fiを従業員以外に使用させるのは避けるべきだ。

何でですか？
お客様もネットワーク使えないと不便ですよね？

たしかにインターネットに接続できないのは不便だが、社外の人が社内ネットワークに入る必要もないだろう？
ゲストが誤ってマルウェア等を侵入させてしまったとしても、社内ネットワークと切り離しておけば被害を最小限に抑えられる。

むむむ…そこまで考えていなかった…！
さっそく別のSSIDを用意してゲスト用Wi-Fiを構築します！

はじめのセキュリティ対策が始まったようだな！
「Wi-Fiサーチャー」で電波上にいるDr.プロトコルのエネルギーをロックオン！観念しろ！

～JoshisuMan Equipment③：Wi-Fiサーチャー～

JoshisuManのベルト部分についているWi-Fiルーター型のサポート武器。
アクセスポイントを立てるだけでなく、トラフィックスカウターとしても役に立つ。

チィッ！？なんだなんだ！？
いきなり社内ネットワークにアクセスできなくなったゾ！
くっそーーーゲスト用Wi-Fiに追い込まれてやがる！
一時退散！（ブォン）

やったぁ！怪しい通信がなくなりました！
これで安心して無線LAN通信ができるぞー！

ひとまず無事解決したようだな！強い情シスが企業を伸ばす！
また会おう！さらばだ！

【解決】～ICT SOLUTION！～

無線LAN（Wi-Fi）は誰でも簡単に使える便利な通信方法だ。運用したい企業はもちろん、無線LANだけでオフィスネットワークを構築しているところも増えている。だからこそ、悪用される機会やポイントも多いことを踏まえ、社内だから大丈夫と油断せずにセキュリティ対策はしっかりと実施してほしい。とはいえ、構築から運用、セキュリティ対策までまったく不安がぬぐえないという情シスマンもいることだろう。そんな情シスマンには、多彩な認証方式を選択でき、適切なセキュリティ対策を施したWi-Fi環境を気軽に構築できる「ビジネスWi-Fi」をオススメする。

■「USEN GATE 02―ビジネスWi-Fi―」
・稼働状況はクラウドに集積し、管理画面から確認できる
・遠隔でAPごと、またはSSIDごとに停止・再起動が可能
・1台のAPに複数SSIDを設定でき、ゲスト用環境も構築可能
・設置場所の電波環境に応じて自動的に最適な出力を調整