証明書サービスを使用してワイヤレス LAN のセキュリティを保護する

2019-12-06

第 2 章 : セキュリティで保護されたワイヤレス LAN ネットワークの構築方針を決定する

最終更新日: 2005年5月24日

トピック

はじめに
 ワイヤレスネットワークに関する検討
 WLAN を (本当に) セキュリティで保護する方法
 最適な WLAN オプションを選択する
 要約
 参照情報

はじめに

ワイヤレスローカルエリアネットワーク (WLAN) テクノロジは、常に論議を呼ぶ対象です。 WLAN を導入した場合、WLAN のセキュリティをどうするかという問題が発生します。ただし導入しないと、ユーザーの生産性が向上するという利点や総保有コスト (TCO) を削減する機会を見逃すことになります。また、企業環境で使用する場合の WLAN の安全性について、いまだに懸念の声があります。

第 1 世代の WLAN セキュリティソフトウェアに弱点が発見されて以来、アナリストやネットワークセキュリティ企業は、この弱点の克服に取り組んできました。このような取り組みの中には、ワイヤレスセキュリティの大幅な改善に貢献したものもあります。しかし、逆に問題を大きくしてしまったケースもあります。新たなセキュリティ脆弱性の原因となったり、コストの高い独自仕様のハードウェアが必要になるなどのケースです。また、仮想プライベートネットワーク (VPN) など別のセキュリティテクノロジを基盤にすることで WLAN のセキュリティの問題を完全に回避できたケースもありますが、この別のテクノロジがまた複雑な問題につながる可能性があります。

同時に、米国電気電子学会 (IEEE) は他の規格団体と協力して、ワイヤレスセキュリティの標準の再定義と改善に熱心に取り組み、WLAN を 21 世紀初頭の危険なセキュリティ環境に耐えるものにしようと努めてきました。このような組織や業界のリーダー企業の努力のおかげで、"WLAN セキュリティ" という言い方も今では矛盾した表現ではなくなっています。現在の WLAN セキュリティには高度の信頼性が備わっているため、安心して展開し利用することができます。

この章では、マイクロソフトが提供する 2 つの WLAN セキュリティソリューションを紹介し、WLAN をセキュリティで保護する場合のベストプラクティスに関してお答えします。

ワイヤレスソリューションの概要

この章を参照すると、組織の WLAN をセキュリティで保護するための最適な方法を決定することができます。その決定に役立つよう、ここでは、次の 4 つの項目について説明します。

WLAN に関連するセキュリティ問題に対処する
安全な WLAN の標準を使用する
仮想プライベートネットワーク (VPN) やインターネットプロトコルセキュリティ (IPsec) など代替方法を採用する
組織に最適な WLAN オプションを選択する

マイクロソフトは、IEEE、インターネット技術標準化委員会 (IETF)、Wi–Fi Alliance などの規格団体によるオープンスタンダードに基づいて、2 つの WLAN ソリューションを作成しました。 2 つのソリューションのうち 1 つが「証明書サービスを使用してワイヤレス LAN のセキュリティを保護する」、もう 1 つが「PEAP およびパスワードでワイヤレス LAN のセキュリティを保護する」です。その名が示すとおり、前者では公開キー証明書を使用して WLAN にアクセスするユーザーとコンピュータを認証し、後者では単純にユーザー名とパスワードを使用します。ただし、この 2 つのソリューションの基本アーキテクチャはほぼ同じで、いずれも Microsoft® Windows Server™ 2003 インフラストラクチャと、Microsoft Windows® XP および Microsoft Pocket PC 2003 を実行しているクライアントコンピュータをベースにしています。

ソリューション名からははっきりわかりませんが、この 2 つのソリューションは、それぞれ異なる組織を対象にしています。「証明書サービスを使用してワイヤレス LAN のセキュリティを保護する」ソリューションは主に、比較的複雑な情報技術 (IT) 環境を持つ大規模な組織を対象にしており、「PEAP およびパスワードでワイヤレス LAN のセキュリティを保護する」は、かなり単純化されたソリューションであるため、小規模な組織でも展開が容易です。

といっても、大規模な組織ではパスワード認証を使用できないとか、証明書認証は小規模な組織には適していないということではありません。この 2 つのソリューションのテクノロジの違いは単に、どちらのタイプの組織にどちらが採用される傾向が強いかを表したものにすぎません。次の図の簡単な判断ツリーを使用して、組織に最適な WLAN ソリューションを選択してください。

WLAN セキュリティの実装で使用できる主なテクノロジオプションには、次の 3 つがあります。

Wi–Fi Protected Access (WPA) 事前共有キー (PSK) - きわめて小規模なビジネスおよびホームオフィス向け
パスワードベースの WLAN セキュリティ - 証明書を使用しない組織向け
証明書ベースの WLAN セキュリティ - 証明書を導入する組織向け

以上の実装オプションについては、この章で後述します。同様に、あとの 2 つのオプションの機能を組み合わせてハイブリッドソリューションを作成する方法についても、後に説明します。

図 2.1: マイクロソフトの 2 つのワイヤレス LAN ソリューションを選択する判断ツリー

ページのトップへ

ワイヤレスネットワークに関する検討

現在では、ビジネスにとって WLAN に利点があることは明らかです。 WLAN テクノロジは、この 10 年近くさまざまな形で存在してきましたが、広く受け入れられるようになったのは比較的最近のことです。信頼性が高く標準化された低コストのテクノロジが、頻繁に接続して柔軟に仕事を進めたいという要望の高まりに応えられるようになって初めて、WLAN の採用は本格的にスタートしました。しかし、テクノロジの急速な普及に伴い、第 1 世代の WLAN が抱えるいくつもの重大なセキュリティ上の弱点も明らかになってきました。このセクションでは、WLAN の長所 (機能) と短所 (セキュリティ) の両方について説明します。

ワイヤレス LAN の長所

WLAN テクノロジの長所は、基幹ビジネス上の長所と運用上の長所に大きく分けることができます。基幹ビジネス上の長所としては、従業員の生産性向上、ビジネスプロセスの迅速化と効率化、まったく新しいビジネス機能を作成する可能性の増大などが挙げられます。運用上の長所としては、管理コストや設備投資の削減などが挙げられます。

基幹ビジネス上の長所

WLAN の基幹ビジネス上の長所は、従業員の柔軟性とモビリティが向上することにあります。従業員はデスクから解放され、ネットワークに接続したままで会社内を自由に移動することができます。モビリティとネットワークの柔軟性が向上するとビジネスにどのような利点をもたらすか、次にいくつかの例を挙げて説明します。

複数のオフィス間を移動するモバイルワーカーも会社のローカルエリアネットワーク (LAN) に常時接続できるため、時間と労力を節約できます。ワイヤレスが使える範囲であればどこからでも即座に接続が可能なため、ネットワークポートやケーブルを探したり、IT スタッフに頼んでネットワークに接続してもらう必要がありません。
ナレッジワーカーは社内のどこにいても連絡を取り合うことができます。従業員は、電子メール、電子予定表、およびチャットなどのテクノロジを使用して、会議中など、自分のデスクから離れた所で作業している間もオンラインのままでいることができます。
オンライン情報をいつでも利用できます。誰かが会議中に先月の数値の記載されたレポートや最新版のプレゼンテーションを取りに走るなどして、会議が遅れることはもうありません。これで会議の質と生産性が大幅に向上します。
企業の組織の柔軟性も向上します。従業員がデスクに縛りつけられることがないため、チームやプロジェクトの新たな構成に応じて、デスクの移動はもちろん、オフィスをまるごと移動することさえ迅速かつ簡単に実行できます。
新しいデバイスやアプリケーションを企業の IT 環境に統合する方法が大幅に改善されます。近年まで、パーソナルデジタルアシスタント (PDA) やタブレット PC などのデバイスは、企業の IT の隅に追いやられた重役の遊び道具にすぎないことがよくありましたが、組織がワイヤレスに対応すると、これらのデバイスは今までよりも統合されるようになり、はるかに役立つようになります。以前はネットワークにアクセスできなかった製造現場、病棟、店舗、レストランなどにワイヤレスコンピュータ、デバイス、およびアプリケーションを供給できるため、IT と関わりがなかったスタッフやビジネスプロセスもその利点にあずかることができます。

組織によって利点は異なります。組織にもたらされる利点は、ビジネスの性質、従業員数の規模や地理的配置状況など、多くの要因に左右されます。

運用上の長所

WLAN テクノロジの主な運用上の長所は、資本コストおよび運用コストの削減です。これについては、次のようにまとめることができます。

建物へのネットワークアクセスの供給コストが大幅に低下します。オフィススペースのほとんど全体にネットワーク配線が施されますが、工場、倉庫、店舗など、そうでないところも多数あります。また、有線ではネットワークを供給できない屋外や海辺のような場所、それどころか戦闘地域にさえも、ネットワークを供給することができます。
組織変更に応じて、必要であれば毎日でも、ネットワークの規模をさまざまな要望レベルに簡単に変更できます。ワイヤードネットワークポートの数を増やすよりも、ワイヤレスアクセスポイント (AP) を特定の場所に集めて展開する方がはるかに簡単です。
ワイヤレスネットワークインフラストラクチャの場合、新しい施設に比較的容易に移設できるため、資本コストとインフラ整備が密接に結び付くことはもうありません。一方、物理的な配線だと建物に半永久的に固定されます。

ワイヤレス LAN のセキュリティ問題

このような利点があるにもかかわらず、WLAN にはさまざまなセキュリティ上の問題があるため、特に財務や管理などセキュリティが重要となる部門での WLAN の導入を組織は控えてきました。保護されていないネットワークデータが周辺の人に送信されるリスクは明らかであるにもかかわらず、セキュリティ対策がまったく行われないまま WLAN が導入される事例は驚くほどあります。ビジネスの大半で、ワイヤレスセキュリティは何らかの形で実装されています。しかし、そのセキュリティの形式は第一世代のごく基本的な機能しか持たず、今日の基準から見れば保護が不十分であるという場合がほとんどです。

最初の IEEE 802.11 WLAN 規格が策定されたころ、セキュリティは現在ほど大きな問題になっていませんでした。脅威のレベルや巧妙さは現在よりはるかに低く、またワイヤレステクノロジの導入も初期段階にありました。このような状況の中で、第一世代の WLAN セキュリティスキームである Wired Equivalent Privacy (WEP) が登場しました。 WEP では、無線のセキュリティを有線のセキュリティと同程度のレベルにするための措置が十分ではなかったと言えます。それとは対照的に、現在の WLAN セキュリティは、目に見える物理的な境界やネットワークの境界というものがない無線ネットワークのような、脅威の存在する環境で機能するように設計されています。

第一世代の静的 WEP (共有パスワードを使用してネットワークを保護) と、強力な認証および暗号化キー管理を備えた WEP 暗号化を使用するセキュリティスキームの違いに注意してください。前者は認証とデータ保護を含む完全なセキュリティスキームであり、この章では "静的 WEP" と呼びます。一方、動的 WEP は、データの暗号化と整合性を保つ方法のみを指し、この章で後述するよりセキュリティ保護されたソリューションで使用されます。

静的 WEP で見つかるセキュリティ上の弱点により、静的 WEP で保護された WLAN に脆弱性が発生し、いくつかのタイプの脅威に弱くなります。 Airsnort や WEPCrack などの無償 "監査" ツールを使用すると、静的 WEP で保護されたワイヤレスネットワークに侵入するのは簡単です。保護されていない WLAN は、もちろんこれと同じ脅威にさらされており、しかも保護されている WLAN ほど専門知識や時間やリソースを使わずに攻撃を実行できます。

現在の WLAN セキュリティソリューションの仕組みについて説明する前に、WLAN に対する脅威の主なものをここで取り上げます。次の表は、主な脅威についてまとめたものです。

表 2.1: WLAN の主なセキュリティ上の脅威

脅威	脅威の説明
盗聴 (データの漏えい)	ネットワーク伝送を盗聴されると、機密データや保護されていないユーザー資格情報が漏えいしたり、身元情報が盗まれる恐れがあります。また、高度な技術を持った侵入者による企業の IT 環境の情報収集を許し、これによって、本来なら攻撃を受けにくい他のシステムやデータまでが攻撃を受けてしまう可能性があります。
転送データの傍受と変更	攻撃者がネットワークへのアクセスに成功した場合、認証されないコンピュータを使用して、正当な当事者間で転送されるネットワークデータを傍受し、変更することができます。
なりすまし	内部ネットワークにアクセスできる場合、侵入者は、ネットワーク外から行われたとは思えない方法で、自分が送信したデータを正当なデータに見せかけることができます (偽の電子メールメッセージなど)。システム管理者も含めてユーザーは一般的に、企業ネットワークの外部から発信されたものよりも企業内部から発信されたものをはるかに信じやすい傾向があります。
サービス拒否 (DoS)	攻撃しようという意志があれば、DoS 攻撃はさまざまな方法で試みることができます。たとえば、無線レベルの信号破壊は、電子レンジなどの簡単な技術でも実行できます。攻撃には、低階層のワイヤレスプロトコル自体を攻撃目標とする高度なものもあれば、WLAN に大量のデータトラフィックをランダムに送りつけるような程度の低い攻撃もあります。
フリーロード (またはリソースの盗難)	侵入者は、無料でインターネットを使用するためのアクセスポイントとして企業のネットワークを使用しているだけの場合もあります。他の一部の脅威ほどの損害は受けないとは言え、これにより少なくとも正当なユーザーが受けられるサービスレベルが低下します。そればかりでなく、ウイルスやその他の脅威が持ち込まれる可能性もあります。
偶発的な脅威	WLAN の一部の機能によって、意図しない脅威が発生する可能性があります。たとえば、正当な訪問者がネットワークに接続するつもりがなくても、自分のポータブルコンピュータを起動すると会社の WLAN に自動的に接続されます。こうして、ポータブルコンピュータは会社のネットワークにウイルスが侵入する潜在的な入り口となります。このような脅威は、セキュリティで保護されていない WLAN だけに発生する問題です。
不適切な WLAN	会社で公式に WLAN を導入していない場合でも、管理されていない WLAN が存在すると、会社のネットワークが突然脅威にさらされる可能性があります。たとえば、熱心な従業員が安価な WLAN ハードウェアを購入して使用したことがきっかけで、会社のネットワークに予期しない脆弱性が生じるかもしれません。

静的 WEP を始めとする WLAN のセキュリティ上の問題は、メディアで大きく取り上げられてきました。実際にはこのような脅威に対抗する優れたセキュリティソリューションがあるにもかかわらず、企業では規模の大小を問わず WLAN に対して依然慎重です。多くの組織で WLAN テクノロジの導入が中止されており、禁止している組織すらあります。こういった混乱や、WLAN がセキュリティ保護されていないネットワークと同義であるかのような誤った考え方が広まることになった主な原因として、次のようなことが挙げられます。 - どの WLAN テクノロジが安全でどれが安全でないか、世間一般ではっきりしていません。静的 WEP の弱点が次々に発見された結果、企業は WLAN のセキュリティ対策のどれに対しても懐疑的になっています。こうした問題を解決できるというさまざまな公式標準と独自のソリューションが発表されましたが、ユーザーを当惑させただけで、混乱はほとんど解決されていません。 - ワイヤレスは目に見えません。ネットワークセキュリティ管理者にとって、このことは単に心理的な不安を生み出すばかりでなく、現実でもセキュリティ管理上の問題を生み出しています。ワイヤード (有線) ネットワークなら、侵入者がケーブルを挿し込んでいるところを*目にする*ことができますが、これに比べると WLAN への侵入ははるかに実体がありません。壁やドアなど従来の物理的なセキュリティ防御はワイヤードネットワークの保護には役立ちますが、"ワイヤレス" の攻撃者に対しては何の保護にもなりません。 - 情報セキュリティの必要性に対する意識が、昔と比べると現在はるかに高まってきています。企業はシステムに対してきわめて高いレベルのセキュリティを求めており、新たなセキュリティの脆弱性を生み出しかねないテクノロジは信頼されません。 - このようなセキュリティ意識の高まりの当然の結果として、データセキュリティに適用する法律上および規制上の要件を定める国や産業部門が増えてきています。最もよく知られた例として、米国政府が個人の健康管理データの取り扱いを規定した、1996 年の医療保険の携行性と責任に関する法律 (HIPAA) があります。 [](#mainsection)[ページのトップへ](#mainsection) ### WLAN を (本当に) セキュリティで保護する方法 WLAN セキュリティの弱点が発見されて以来、主要なネットワークベンダ、規格団体、アナリストは、この脆弱性の克服に多大な努力を払ってきました。この結果、WLAN セキュリティの問題に対して、多くの回答が得られています。主な代替方法として次のものがあります。 - WLAN テクノロジを導入しない。 - そのまま 802.11 静的 WEP セキュリティを利用する。 - VPN を使用して WLAN のデータを保護する。 - IPsec を使用して WLAN トラフィックを保護する。 - 802.1X 認証とデータ暗号化を使用して WLAN を保護する。上に挙げた代替の解決策は、セキュリティ、機能性、使いやすさの点から見て満足度の低い順に並べていますが、この順番はいくぶん主観的なものです。マイクロソフトでは、最後に挙げた「802.1X 認証と WLAN の暗号化を使用する」を推奨しています。次のセクションではこの方法について説明し、前出の表 2.1 で示した WLAN の主な脅威と照らし合わせて評価します。その他の方法の主な長所と短所についても、この章で後述します。 #### 802.1X 認証とデータ暗号化を使用して WLAN を保護する意味のよくわからない用語を並べたこのタイトルは別にしても、この方法を推奨する理由はいろいろあります。この方法に基づくソリューションの長所を説明する前に、まずここで使用されている用語の意味を明らかにし、それからソリューションの仕組みについて説明します。 ##### WLAN のセキュリティについて理解する WLAN の保護には、主に次の 3 つの要素があります。 - ネットワークに接続するユーザー (またはデバイス) の認証。これにより、どのユーザーまたはデバイスがネットワークに接続しようとしているかを正しく把握できます。 - ユーザーまたはデバイスが WLAN を使用することの承認。これにより、ネットワークへのユーザーのアクセスを制御できます。 - ネットワーク上で転送されるデータの保護。これにより、データが傍受されたり、許可なく変更されることを防ぐことができます。上記以外に、WLAN の監査機能が必要になる場合がありますが、監査は主として、他のセキュリティ要素のチェックや補足を行うための手段です。 ###### ネットワークの認証および承認静的 WEP のセキュリティでは、簡単な共有シークレット (パスワードまたはキー) に基づいて、WLAN にアクセスするユーザーやデバイスが認証されます。つまり、この秘密キーを知っていれば誰でも WLAN にアクセスできます。 WEP に存在する暗号の欠陥のため、攻撃者は、簡単に手に入れることのできるツールを使用して WLAN で使用されている静的 WEP のキーを解読することができます。また、当初の WEP 規格では WEP キーを自動的に更新または配布する方法が用意されていないため、WEP キーの変更は非常に困難な作業です。静的 WEP に基づく WLAN のキーがいったん解読されると、たいていは解読されたままの状態になります。はるかに強力な認証および承認方法を導入するため、マイクロソフトを始めとする多数のベンダは、802.1X プロトコルを使用した WLAN セキュリティフレームワークを提案しました。 802.1X プロトコルは、ネットワークへのアクセス認証に関する IEEE 標準です。オプションで、トラフィック保護に使用するキーの管理に関する標準にすることもできます。この標準の使用対象はワイヤレスネットワークに限られません。多くのハイエンドのワイヤード LAN スイッチにも実装されています。 802.1X プロトコルは、ネットワークユーザー、ワイヤレス AP などのネットワークアクセス (またはゲートウェイ) デバイス、RADIUS (Remote Authentication Dial-In User Service: リモート認証ダイヤルインユーザーサービス) サーバー形式の認証/承認サービスで構成されます。 RADIUS サーバーは、ユーザー資格情報の認証およびユーザーの WLAN へのアクセスの承認を行います。 802.1X プロトコルでは、EAP (Extensible Authentication Protocol: 拡張認証プロトコル) と呼ばれる IETF プロトコルに基づいて、クライアントと RADIUS サーバーの間で認証交換が行われます。この認証交換は AP を経由します。 EAP は認証用の汎用プロトコルであり、パスワード、デジタル証明書、その他の資格情報に基づくさまざまな認証方法に対応する拡張可能なプロトコルです。 EAP ではさまざまな認証方法がサポートされるため、使用する EAP 標準の認証タイプは 1 つとは限りません。状況によってさまざまな EAP 認証方法が適用され、さまざまな資格情報や認証プロトコルが使用されます。 WLAN 認証での EAP 認証方法の使用については、この章で後述します。 ###### WLAN のデータ保護 802.1X 認証とネットワークアクセスを決定しただけでは、まだこのソリューションの一部にすぎません。ソリューションを構成するもう 1 つの重要な要素に、ワイヤレスネットワークトラフィックの保護に何を使用するかという問題があります。前述した WEP データ暗号化の弱点は、静的 WEP に暗号化キーを定期的に自動更新する方法が組み込まれていた場合、改善されていた可能性があります。ツールを使用して静的 WEP のキーを解読するには、同じキーで暗号化された百万から千万のパケットを収集する必要があります。静的 WEP のキーは何週間または何か月も変更されないことがよくあるため、攻撃者がこの量のデータを集めるのは簡単です。 WLAN 上のすべてのコンピュータで同じ静的キーが共有されるため、攻撃者は、WLAN 上のすべてのコンピュータから転送データを収集し、キーの解読に使用できます。 802.1X に基づいたソリューションを使用すると、暗号化キーを頻繁に変更できます。 802.1X のセキュリティ保護された認証プロセスの一部として、EAP 認証方法により各クライアントに固有の暗号化キーが生成されます。 WEP キー (前述) への攻撃を低減するため、RADIUS サーバーにより新しい暗号化キーの生成が定期的に実行されます。これにより、はるかに安全な方法で WEP 暗号化アルゴリズム (最新の WLAN ハードウェアに搭載) を使用できます。 ###### WPA と 802.11i 802.1X の動的なキー再作成機能を備えた WEP は、ほぼあらゆる点から安全と言えますが、まだ次のような問題が一部残っています。 - WEP では、ブロードキャストパケットのようなグローバル転送には別個の静的キーが使用されます。ユーザーごとのキーと異なり、このグローバルキーは定期的に更新されません。機密データをブロードキャストで送信することはまずありませんが、グローバル転送に静的キーを使用すると、IP アドレス、コンピュータ名、ユーザー名などネットワークに関する情報を攻撃者に知られる可能性があります。 - WEP で保護されたネットワークフレームでは、整合性の保護に問題があります。攻撃者は暗号化の手法を使って、受信者に知られずに WLAN フレームの情報を変更し、フレームの整合性チェックの値を変えることができます。 - WLAN の転送速度が速くなり、コンピュータの処理能力や暗号解読技術が向上するに伴い、WEP キーをより頻繁に更新する必要があります。そのため RADIUS サーバーの負荷が大きくなりすぎる恐れがあります。このような問題に対処するため、IEEE は 802.11i、または RSN (Robust Security Network) とも呼ばれる WLAN の新しいセキュリティ標準の作成に取り組んでいます。主要な Wi–Fi ベンダで組織される Wi–Fi Alliance では、802.11i の実質的な早期リリースを採用しており、WPA (Wi–Fi Protected Access) として知られる業界標準の中で公開しました。 WPA には 802.11i の機能のかなりの部分が組み込まれています。 WPA の公開により、Wi–Fi Alliance では Wi–Fi ロゴを使用するすべての機器に WPA 規格への準拠が義務付けられるようになり、また Wi–Fi ネットワークハードウェアベンダは、802.11i の公開に先立って、標準化された高セキュリティオプションを提供できるようになりました。 WPA には、WLAN のセキュリティ保護に現在利用できる技術の中で最も安全と一般的に認められているセキュリティ機能が集められています。 WPA には 2 つの形式があります。1 つは、802.1X と RADIUS による認証を使用するもので単に WPA と呼ばれ、もう 1 つは、事前共有キーを使用する SOHO 環境向けのよりシンプルな形式で、WPA PSK と呼ばれています。 WPA では、堅牢な暗号化と 802.1X プロトコルの強力な認証および承認メカニズムが結び付いています。また、WPA によるデータ保護には次のような利点があるため、WEP の既知の脆弱性を解消できます。 - パケットごとに一意の暗号化キーを使用する。 - 初期化ベクタがはるかに長いため、128 ビットのキーマテリアルを別に追加してキースペースを事実上倍にすることができる。 - 署名付きメッセージの整合性チェック値は、改ざんまたは偽装しにくい。 - リプレイ攻撃を阻止するための暗号化されたフレームカウンタが組み込まれている。しかも、WPA には WEP と同じ暗号化アルゴリズムが使用されているため、単にファームウェアをアップグレードするだけで、既存のハードウェアに実装できます。 WPA PSK を使用すれば、小規模組織やホームオフィスのユーザーも、静的 WEP の脆弱性がない共有キー方式の WLAN を使用できます。ただし、WPA PSK を活用できるどうかは、選択した事前共有キーがパスワードの推測による単純な攻撃を十分阻止できるかどうかによります。 RADIUS ベースの WPA および動的 WEP と同様、各ワイヤレスクライアントに対して別個の暗号化キーが生成されます。事前共有キーは認証用の資格情報として使用されます。事前共有キーを知っていれば、WLAN の使用を承認されて、データを保護する一意の暗号化キーを受け取ります。 802.11i RSN 標準により、サービス拒否 (DoS) 攻撃を阻止する保護機能が向上するなど、WLAN のセキュリティレベルがさらに改善されます。この新しい標準は、2004 年半ばに公開の予定です。 ###### EAP 認証方法 EAP という名称の中に含まれる "拡張 (Extensible)" という言葉が示すとおり、EAP では多数の認証方法がサポートされています。これらの認証方法では、Kerberos バージョン 5 認証プロトコル、TLS (Transport Layer Security) プロトコル、マイクロソフトチャレンジハンドシェーク認証プロトコル (MS–CHAP) など、さまざまな認証プロトコルを使用できます。また、パスワード、証明書、使い捨てパスワードトークン、バイオメトリクスなど、さまざまなタイプの資格情報も使用できます。理論上はどの EAP 認証方法を 802.1X プロトコルで使用してもかまいませんが、すべての認証方法が WLAN での使用に適しているわけではありません。特に、保護されていない環境での使用に適しており、暗号化キーの生成機能を備えている必要があります。 WLAN で使用できる主な EAP 認証方法には、EAP–TLS、Protected EAP (PEAP)、Tunneled TLS (TTLS)、Lightweight EAP (LEAP) があります。このうち、PEAP と EAP–TLS がマイクロソフトでサポートされています。 **EAP–TLS** EAP–TLS は IETF 標準 (RFC 2716) であり、ワイヤレスクライアントと RADIUS サーバーの両方で使用される認証方法としては、おそらく現在最も一般的にサポートされているものです。 EAP-TLS では公開キー証明書が使用され、ワイヤレスクライアントと RADIUS サーバーの間に暗号化された TLS セッションが確立されることで、この両者が認証されます。 **PEAP** PEAP の認証方法は 2 段階に分かれています。第 1 段階ではサーバーに対する TLS セッションが確立され、クライアントはサーバーのデジタル証明書を使用してサーバーを認証できます。第 2 段階では、PEAP セッション内でトンネルされる 2 番目の EAP 認証方法が必要になります。これによって、RADIUS サーバーに対してクライアントが認証されます。このため PEAP では、パスワードと MS–CHAP バージョン 2 (MS–CHAP v2) プロトコルや、PEAP 内でトンネルされる EAP–TLS を使用する証明書など、さまざまなクライアント認証方法を使用できます。 MS–CHAP v2 などの EAP 認証方法は、PEAP の保護なしで使用できるほど安全ではありません。PEAP の保護がないと、オフライン辞書攻撃に対して脆弱であるためです。 PEAP のサポートは業界で一般的なものであり、Microsoft Windows XP SP1 および Pocket PC 2003 に PEAP のサポートが組み込まれています。 **TTLS** TTLS は、PEAP と同じく 2 段階に分かれたプロトコルであり、TLS セッションを使用してトンネルされるクライアント認証を保護します。 TTLS では、EAP 認証方法がトンネルされるだけでなく、CHAP、MS–CHAP など EAP 以外の認証プロトコルも使用できます。マイクロソフトと Cisco では TTLS をサポートしていませんが、多数のプラットフォームに対応した TTLS クライアントを他のベンダから入手できます。 **LEAP** LEAP は、Cisco が開発した独自の EAP 認証方法であり、パスワードを使用してクライアントを認証します。広く普及してはいますが、Cisco 製のハードウェアおよびソフトウェアの他、一部ベンダのハードウェアおよびソフトウェアにしか対応していません。また、LEAP には、オフライン辞書攻撃に弱い (攻撃者がユーザーのパスワードを解読する恐れがあります)、man-in-the-middle 攻撃に弱いなど、公開されてるセキュリティの脆弱性がいくつかあります。ドメイン環境では、LEAP で認証できるのは WLAN にアクセスする*ユーザー*だけで、*コンピュータ*は認証できません。コンピュータが認証されない場合、マシングループポリシーが正しく実行されず、ソフトウェアのインストール設定、移動プロファイル、ログオンスクリプトがすべて失敗する恐れがあります。また、ユーザーは期限が切れたパスワードを変更できません。他の EAP 認証方法で 802.1X プロトコルを使用する WLAN セキュリティソリューションがあります。 EAP–MD5 など、このような EAP 認証方法には、WLAN 環境で使用する場合に重大なセキュリティ上の弱点があるため、使用しないことをお勧めします。使い捨てパスワードや Kerberos などその他の認証プロトコルを使用する他の方法もありますが、 WLAN 市場に大きな影響を与えるほどではありません。 ##### WLAN のデータ保護に 802.1X を使用する利点 WLAN で 802.1X プロトコルベースのソリューションを使用する主な利点を要約すると、次のようになります。 - **高セキュリティ :** クライアント証明書やユーザー名とパスワードの組み合わせを使用できるため、高セキュリティの認証スキームを提供できます。 - **より強力な暗号化 :** ネットワークデータの強力な暗号化を実現できます。 - **透過性 :** 認証と WLAN への接続が透過的です。 - **ユーザーとコンピュータの認証 :** 環境内のユーザーとコンピュータに、別々の認証方法を使用できます。コンピュータの認証を別にしておくと、ユーザーが誰もコンピュータにログオンしていない場合でも、環境内のコンピュータを管理できます。 - **低コスト :** ネットワークハードウェアが低価格です。 - **高パフォーマンス :** 暗号化がクライアントコンピュータの CPU ではなく WLAN のハードウェアで行われるため、WLAN の暗号化作業がクライアントコンピュータのパフォーマンスレベルに影響を与えることはありません。 802.1X プロトコルベースのソリューションには、いくつか注意すべき点もあります。 - 802.1X プロトコルはほぼ全世界共通で受け入れられていますが、異なる EAP 認証方法で使用した場合、相互運用性が保証されない場合があります。 - WPA の導入はまだ初期段階であり、古いハードウェアでは使用できない場合があります。 - 次世代の RSN (802.11i) 標準はまだ批准されていません。また、更新されたハードウェアおよびソフトウェアを導入する必要があります (ネットワークハードウェアでは通常ファームウェアの更新が必要です)。ただし、これらの注意点は比較的小さな問題であり、802.1X プロトコルを使用する利点の方がはるかに上回ります。この点は特に、この章で後述する代替方法の重大な弱点と比較した場合に明らかです。 ###### セキュリティ上の脅威に対する 802.1X ソリューションの復元性 WLAN の主なセキュリティ上の脅威については、この章の前出の表にまとめられています。次の表は、それらの脅威を、802.1X プロトコルと WLAN のデータ保護に基づいたソリューションと比較して再検討したものです。 **表 2.2: 提案したソリューションをセキュリティ上の脅威と比較した場合の評価**

脅威	対策
盗聴 (データの漏えい)	暗号化キーの動的な割り当てと変更が頻繁に行われ、キーがユーザーセッションごとに一意であるため、キーの更新が頻繁に行われる限り、現在知られている方法ではキーを見つけ出してデータにアクセスすることは不可能です。 WPA では、暗号化キーがパケットごとに変更されるため、セキュリティがより強化されます。ブロードキャストトラフィックを保護するグローバルキーは、パケットごとに再生成されます。
転送データの傍受と変更	ワイヤレスクライアントとワイヤレス AP の間のデータ整合性が保証され、データ暗号化が強化されているため、悪意のあるユーザーが転送データを傍受して変更することはできなくなっています。クライアント、RADIUS サーバー、およびワイヤレス AP 間の相互認証により、攻撃者はこの三者のいずれかのふりをするのも困難になります。 WPA では、Michael プロトコルの使用によりデータの整合性が向上します。
なりすまし	ネットワークへの安全な認証により、認証されていない個人がネットワークに接続し、内部から偽のデータを送るのを防ぎます。
サービス拒否攻撃 (DoS)	ネットワークレベルでの大量データ送信攻撃などの DoS 攻撃は、802.1X プロトコルを使用して WLAN へのアクセスを制御することにより阻止できます。低レベルの 802.11 に対する DoS 攻撃を阻止する手段は、動的 WEP または WPA にはありません。これについては、802.11i 標準で対処されています。ただし、この新しい標準でも、ネットワークの物理層 (無線レベル) への攻撃を阻止する手段はありません。このような脆弱性は、現在の 802.11 WLAN の特長であり、この章で後述するその他のすべてのオプションに共通しています。
フリーロード (またはリソースの盗難)	強固な認証の要求によって、ネットワークの不正利用を防ぎます。
偶発的な脅威	安全な認証の要件によって、偶発的に WLAN に接続されるという事態を防ぎます。
不適切な WLAN	このソリューションには不適切なワイヤレス AP に直接対処する対策は備わっていませんが、このようなセキュリティ保護されたワイヤレスソリューションが実装されていれば、非公式に WLAN を設定しようという気はなくなります。それでも、未承認の WLAN の使用を禁止する明確なポリシーを作成して、公開することをお勧めします。ネットワークをスキャンしてワイヤレス AP ハードウェアアドレスを検出するソフトウェアツールや、ハンドヘルド WLAN 検出装置を使用して、ポリシーへの準拠を確認することができます。

WLAN のセキュリティを実現するその他の方法

前のセクションでは、WLAN のデータ保護に 802.1X 認証を使用する方法について、少し詳しく説明しました。このセクションでは、「WLAN を (本当に) セキュリティで保護する方法」の冒頭に挙げた WLAN セキュリティの他の 4 つの代替方法について説明します。

他の代替方法とは、次の 4 つです。

WLAN テクノロジを導入しない。
そのまま 802.11 静的 WEP セキュリティを利用する。
VPN を使用して WLAN のデータを保護する。
IPsec を使用して WLAN トラフィックを保護する。

次の表は、これらの方法と 802.1X プロトコルベースのソリューションとの主な違いをまとめたものです ("WLAN テクノロジを導入しない" という選択肢は、他の方法と直接比較できないためこの表には記載されていません)。これらの方法については、あとで詳しく説明します。

表 2.3: WLAN のセキュリティを実現する方法の比較

機能	802.1X WLAN	静的 WEP	VPN	IPsec
強力な認証 (1)	有	無	有、ただし、共有キー認証を使用する VPN を除く	有、ただし、証明書または Kerberos 認証を使用する場合
強力なデータ暗号化	有	無	有	有
WLAN への透過的な接続と再接続	有	有	無	有
ユーザーの認証	有	無	有	有
コンピュータの認証 (2)	有	有	無	有
ブロードキャストトラフィックとマルチキャストトラフィックの保護	有	有	有	無
追加する必要があるネットワークデバイス	RADIUS サーバー	無	VPN サーバー、RADIUS サーバー	無
WLAN 自体へのアクセスのセキュリティ保護	有	有	無	無

(1) IPsec トンネルモードを使用する VPN の実装では、多くの場合、*XAuth* という脆弱な共有キー認証スキームが採用されます。 (2) コンピュータが認証されるということは、ユーザーが誰もそのコンピュータにログオンしていない場合でも、そのコンピュータが WLAN と会社のネットワークに接続された状態になるということです。この機能は、次のような Windows ドメインの機能を正しく動作させるために必要です。 - 移動ユーザープロファイル - コンピュータのグループポリシー設定 (特にスタートアップスクリプトと展開済みソフトウェア) - グループポリシーを使用したユーザーログオンスクリプトとソフトウェアの展開 ##### 代替方法 1: WLAN テクノロジを導入しない WLAN のセキュリティ上の脅威に対処する最も簡単な方法は、WLAN をまったく導入しないことかもしれません。しかし、この章で既に説明した WLAN の利点は別にしても、この方法にはやはり問題があります。この方法を採用する場合、組織は META Group が言うところの "延期の代償 (Price of Postponement)" に対処する必要があり、これは単なる機会費用以上のものです。 META Group は 10 年以上前に、多数の企業でワイヤード LAN の利用が管理されないまま拡大していった場合について調査を行いました。ほとんどのケースで、本社の IT 部門があとから対応する形で LAN の展開を主導しなければなりませんでした。また共通して言えることは、部門ごとに独立し、ほとんどの場合互換性のない多数の LAN を再構築するのに膨大なコストがかかったことです。詳細については、「How Do I Limit My Exposure Against the Wireless LAN Security Threat? The New Realities of Protecting Corporate Information」(2002 年 12 月 12 日、META Group 発行) を参照してください。これと同じ問題が WLAN に関しても再び浮上しています。このことは特に、各部署で起こっていることを実際にその目で見ることができない大規模な企業組織に当てはまります。コンポーネントが極めて低価格になったために WLAN が "草の根" レベルで導入され、管理されないまま拡大していく状態は、最悪のシナリオとなる可能性があります。このような状態にあると、組織はこれまで説明してきたすべてのセキュリティ上の脅威にさらされますが、本社の IT グループはそのことにまったく気付かず、脅威を阻止する対策も取れないことになるからです。このような理由から、WLAN テクノロジを採用しないという方針を取る場合は、その方針を受動的にではなく能動的に推し進める必要があります。つまり、WLAN テクノロジを採用しないという決断をポリシーとして明確に宣言することで確固たるものとし、ポリシーを全従業員に認識させると共に、それに違反した場合の結果についても認識させる必要があります。また、スキャン装置やネットワークパケットモニタなどを使用して、会社のネットワークのワイヤレス機器が不正に使用されていないかを調べるという方法も考えられます。 ##### 代替方法 2: 802.11 の基本的なセキュリティ (静的 WEP) を使用する 802.11 の基本的なセキュリティ (静的 WEP) では、共有キーを使用してネットワークへのアクセスを制御し、同じキーを使用してワイヤレストラフィックの暗号化を行います。この単純な認証モデルを補完するため、WLAN カードハードウェアアドレスに基づくポートフィルタリングが使用されることがよくあります。ただし、このポートフィルタリングは 802.11 セキュリティの機能には含まれません。この方法の一番の利点は、その単純さにあります。このアプローチはセキュリティで保護されていない WLAN のセキュリティレベルをいくらか向上させますが、特に大規模な企業組織においては管理およびセキュリティ上の欠陥が伴います。静的 WEP を使用する場合、次のような弱点があります。 - 静的 WEP キーは、WLAN アダプタを備えたコンピュータと Airsnort や WEPCrack のようなハッキングツールがあれば、通信量が多いネットワークでは数時間で解読されてしまいます。 - 静的 WEP の最も深刻な弱点は、ネットワーク暗号化キーの割り当てまたは更新を動的に行うメカニズムがないことです。静的 WEP で使用される暗号化アルゴリズムは、802.1X および EAP によって定期的にキーの自動更新が行われないため、キーの解読の攻撃に対して脆弱です。 - 静的キーの変更は可能ですが、AP およびワイヤレスクライアントでのキーの変更作業は通常手動で行われるため、非常に時間がかかります。その上、クライアントの接続が切断されないように、キーの更新はクライアントと AP で同時に行う必要があります。これを実際に行うのは困難なため、多くの場合キーは変更されないままになっています。 - 静的キーは、WLAN のすべてのユーザーとすべてのワイヤレス AP で共有する必要があります。この状況自体が脆弱性の発生原因になります。多数のユーザーやデバイスの間で共有されている秘密が、長期間秘密のままでいられるとは考えにくいためです。静的 WEP を使用した場合、WLAN に導入されるアクセス制御メカニズムも、WEP キーを知っているかどうかに基づいた、ごく限られたものになります。 WEP キーとネットワークの名前が分かれば (ネットワーク名は簡単に分かります)、そのネットワークに接続できます。この状況を改善するには、いくつかのクライアントネットワークアダプタアドレスをあらかじめ決めておき、それらのアドレスからの接続だけを許可するようにワイヤレス AP を構成するという方法があります。この方法は一般的に、メディアアクセス制御 (MAC) アドレスフィルタリングと呼ばれています。MAC レイヤは、ネットワークアダプタの低レベルのファームウェアに相当します。アクセス制御に使用するネットワークアダプタアドレスフィルタリングにも、次のようないくつかの問題があります。 - 管理性に大きな問題があり、クライアント数が多くなってくると、すべてのクライアントのハードウェアアドレスのリストを管理できなくなります。また、このリストをすべての AP に配布して同期させる作業も、非常に困難なものになります。 - 拡張性に問題があり、 AP のフィルタテーブルのサイズに制限があるため、サポートできるクライアント数も制限されます。 - MAC アドレスとユーザー名を対応させる方法がないため、ユーザー識別情報ではなくコンピュータ識別情報でのみしか認証できません。 - 侵入者が、"許可された" MAC アドレスを用いて接続する可能性があります。正当な MAC アドレスを探し出すことさえできれば、自分のアダプタに焼き付けられている既定アドレスの代わりにその正当なアドレスを使用するのは、侵入者にとって簡単なことです。複数の場所でキーの更新を管理するのは困難なため、事前共有キーを使用するソリューションを実用的に使用できるのは、ユーザーと AP の数が少ない場合に限られます。しかも WEP の暗号には欠陥があるため、非常に小規模な組織であっても、WEP の実用性についてはきわめて疑問です。これとは逆に、WPA の事前共有キー形式では、小規模組織向けの非常に低いインフラコストで優れたレベルのセキュリティを実現できます。また、WPA PSK はさまざまなハードウェアでサポートされており、WLAN クライアントを手動で構成できます。このような理由から、WPA PSK は SOHO 環境に適した構成です。 ##### 代替方法 3: 仮想プライベートネットワークを使用する仮想プライベートネットワーク (VPN) は、ネットワーク暗号化の形式としてはおそらく最も一般的に使用されているものです。VPN テクノロジは試験が重ねられて信頼を獲得しているため、多くの人がインターネットを介して送信する機密データの保護にこのテクノロジを利用しています。静的 WEP の脆弱性が見つかったとき、WLAN の転送データをセキュリティ保護する最良の方法として即座に提案されたのが VPN でした。 VPN は Gartner Group などのアナリストから支持され、また当然のことながら、VPN ソリューションのベンダが VPN の普及を強力に推進しました。 VPN は、実装の質にもよりますが、インターネットのような危険なネットワーク上のデータ転送を保護する上で、非常に優れたソリューションです。しかし、内部 WLAN をセキュリティ保護する場合は必ずしも最良のソリューションではありません。社内 WLAN を対象にした場合、VPN は 802.1X ソリューションと比較してセキュリティの点ではほとんど変わりませんが、一方で複雑さやコストが大幅に増大して利便性は低下します。また、一部の重要な機能が使えなくなります。 **注 :** このような短所は、公共ワイヤレス LAN のホットスポットを介した通信の保護に VPN を使用する場合には当てはまりません。危険なリモートネットワークを介して接続しているユーザーのネットワークデータを保護することが、VPN の本来の用途です。この場合、セキュリティ保護された接続が LAN 接続よりも煩雑で機能性に劣ることをユーザーは覚悟していますが、社内のネットワークに対してはそのようなことは考えていません。 WLAN の保護に VPN を使用すると、次のような利点があります。 - ほとんどの組織で既に VPN ソリューションは導入されているため、ユーザーも IT スタッフもこのソリューションを理解しやすいはずです。 - VPN のデータ保護では通常ソフトウェア暗号化が使用されるため、ハードウェアベースの暗号化よりアルゴリズムの変更やアップグレードが簡単です。 - VPN 保護は WLAN ハードウェアに依存していないため、比較的低価格のハードウェアを使用できることがあります (ただし、802.1X 対応ネットワークハードウェアの価格プレミアムはほとんどありません)。ネイティブの WLAN セキュリティの代わりに VPN を使用する場合は、次のようなデメリットがあります。 - VPN では、ユーザーが透過的ではありません。 VPN クライアントでは通常、VPN サーバーへの接続をユーザーが手動で開始する必要があります。そのため、ワイヤード LAN 接続のように透過的な接続にはなりません。マイクロソフト製以外の VPN クライアントの場合、ネットワークに接続する際に、通常のネットワークログオンまたはドメインログオンに加えてログオン資格情報も求められる場合があります。 WLAN 信号の障害が原因で、またはユーザーが AP 間を移動したために VPN からクライアントが切断された場合は、ネットワークに再接続する必要があります。 - VPN 接続はユーザーによって開始される以外にないため、アイドル状態のログオフされているコンピュータは VPN には接続されず、したがって企業 LAN にも接続されません。そのため、ユーザーがログオンしていない場合は、そのコンピュータをリモートで管理または監視することはできません。したがって、スタートアップスクリプトやコンピュータに割り当てるソフトウェアなど、コンピュータの一定のグループポリシーオブジェクト (GPO) 設定を適用できなくなる可能性があります。 - GPO を使用してユーザーに展開した移動プロファイル、ログオンスクリプト、およびソフトウェアが、本来のように動作しない場合があります。 Windows のログオンプロンプトで VPN 接続を使用してログオンするという選択が行われていない場合、コンピュータが企業 LAN に接続されるのは、ユーザーがログオンして VPN 接続を開始したあとになります。これより前にセキュリティ保護されたネットワークにアクセスを試みても接続できません。マイクロソフト製以外の VPN クライアントの場合、VPN 接続を介して完全にドメインログオンすることができない場合があります。 - 休止状態やスタンバイ状態から復帰した際には、VPN 接続は自動的に再確立されないため、ユーザーが手動で再接続する必要があります。 - VPN では、VPN トンネル内のデータは保護されますが、WLAN 自体は保護されません。つまり、侵入者は WLAN への接続に成功すれば、WLAN に接続されているデバイスを探ったり攻撃することができます。 - VPN サーバーが制約になる場合があります。すべての WLAN クライアントの企業 LAN へのアクセスは、VPN サーバー経由で行われます。従来の VPN デバイスは、比較的低速のリモートクライアントを多数処理できるように設計されています。したがって、ほとんどの VPN ゲートウェイは、数十台または数百台のクライアントが LAN の最高速度で動作する場合は処理できません。 - 追加ハードウェアと VPN デバイスの管理維持にかかるコストは、ネイティブの WLAN ソリューションにかかるコストよりはるかに高くなる可能性があります。一般的には、WLAN AP 以外にも VPN サーバーが各サイトに必要になります。 - VPN セッションは、クライアントが AP 間を移動すると切断されやすい傾向にあります。アプリケーションの場合、ワイヤレス AP を切り替える際に瞬間的な切断が発生してもたいていは許容されますが、VPN セッションの場合は、わずかな中断でもユーザーが手動でネットワークに再接続する必要があります。 - VPN サーバーとクライアントソフトウェアライセンスにかかるコストや、ソフトウェアの展開にかかるコストが、マイクロソフト以外の VPN ソリューションでは問題になる可能性があります。また、マイクロソフト製以外のクライアントでは Windows の中核機能が置き換えられていることがよくあるため、VPN クライアントソフトウェアの互換性も問題になる可能性があります。 - 多くのアナリストやベンダは、VPN のセキュリティが常に WLAN のセキュリティより優れていると想定しています。静的 WEP についてはそのとおりかもしれませんが、この章で説明した 802.1X EAP ベースのソリューションの場合には必ずしも正しくありません。特に VPN の認証方法は、セキュリティがはるかに*低い*場合が多く、最も安全なものでも WLAN と比較してかなり強力というほどではありません。たとえば、マイクロソフトがサポートする WLAN ソリューションでは、VPN ソリューションとまったく同じ EAP 認証方法が使用されます (EAP–TLS と MS–CHAP v2)。 VPN の実装では多くの場合、特に IPsec トンネルモードに基づいた実装では、事前共有キー認証 (グループパスワード) が使用されます。この認証についてはかなり疑問があり、また重大なセキュリティ上の脆弱性も発見されています。皮肉なことに脆弱性の一部は静的 WEP と共通しています。 - VPN では WLAN 自体はまったくセキュリティ保護されません。 VPN トンネル内のデータは保護されますが、WLAN への接続に成功すれば、WLAN 内の正当なワイヤレスクライアントやその他のデバイスを攻撃することができます。 VPN は、ユーザーが自宅のブロードバンド接続から接続している場合や、ワイヤレスホットスポットから接続している場合など、危険なネットワークを介して転送するトラフィックをセキュリティ保護するには最適です。しかし、VPN は、内部ネットワーク上のネットワークトラフィックをセキュリティ保護するように設計されたものではありません。このため、ほとんどの組織にとって、VPN を内部ネットワークの保護に使用することには多くの問題点があります。また、ユーザーにとっては使用できる機能が制限され、IT 担当者にとっては管理が複雑でコストも高すぎます。例外的なケースとして、特定の種類の接続やトラフィックのセキュリティを他のものよりも強化する必要がある場合は、ネイティブの WLAN 保護に*加えて* VPN トンネルまたは IPsec トランスポートモードを使用するという方法があります。これはネットワークリソースの使い方としてはより賢明な方法です。 ##### 代替方法 4: IP セキュリティ (IPSec) を使用する IPsec では、ネットワークの 2 つのピアが相互に安全に認証しあったり、個々のネットワークパケットを認証または暗号化することができます。 IPsec を使用すると、一方のネットワークを介して他方のネットワークを安全にトンネルしたり、または単に、2 台のコンピュータ間で転送される IP パケットを保護することができます。 IPsec トンネリングは、一般的にクライアントアクセスまたはサイト間の VPN 接続で使用されます。 IPsec トンネルモードは、1 つの IP パケット全体を保護された IPsec パケット内にカプセル化する形式の VPN です。そのため、他の VPN ソリューションと同様、同一ネットワーク上のシステム間の通信に必要とされる以上の通信が行われて、経費がかさむ原因になります。 IPsec トンネルモードの長所と短所については、前のセクションの VPN に関する説明を参照してください。 IPsec では、IPsec *トランスポートモード*を使用して、トンネリングせずに 2 台のコンピュータ間のエンドツーエンドトラフィックを保護することもできます。 VPN と同様に、IPSec は多くの環境に適用できる優れたソリューションです。ただし、そのままでハードウェアレイヤに実装可能なネイティブの WLAN 保護機能の代わりになるわけではありません。 IPsec トランスポートモードによる保護には、次のような利点があります。 - ユーザーにとって透過的です。 VPN と異なり、特別なログオン手順は必要ありません。 - IPsec の保護機能は、WLAN のハードウェアに依存しません。つまり、オープンで認証機能のない WLAN さえあればよいことになります。 VPN と異なり、サーバーやデバイスを追加する必要はありません。通信の各末端にあるコンピュータ間で直接セキュリティがネゴシエートされるためです。 - 暗号化アルゴリズムの使用が、WLAN のハードウェアによって制限されることはありません。ネイティブの WLAN セキュリティの代わりに IPsec を使用する場合は、次のようなデメリットがあります。 - IPsec ではコンピュータレベルの認証のみが行われます。ユーザーベースの認証スキームを一緒に実装する方法はありません。多くの組織では、このことは問題になりませんが、*承認されていない*ユーザーが*承認済みの*コンピュータへのログオンに成功した場合、ネットワーク上の IPsec で保護された他のコンピュータにも接続できるようになります。 **注 :** Windows 以外のプラットフォームに IPsec を実装した場合、ユーザーのみの認証が行われることもあります。この場合は、VPN ソリューションと同様、ユーザーがログインしないとコンピュータはネットワークに接続されません。このため、特定の管理操作ができなくなり、ユーザー設定の機能が無効になります。 - 大規模な組織の場合、IPsec ポリシーの管理が複雑になります。 IP トラフィック全般を保護しようとするために、エンドツーエンドの保護が本当に必要となる、より特殊な使い方に支障が出る場合があります。 - 完全なセキュリティを実現するには、すべてのエンドツーエンドトラフィックを暗号化する必要がありますが、IPsec に対応していないデバイスが存在する場合もあります。その場合、IPsec に非対応のデバイス宛てのトラフィックは、暗号化されずに転送されることになります。 IPsec にはこのような非対応デバイスを保護する機能がないため、これらのデバイスは WLAN に接続するユーザーの誰に対しても無防備です。 - IPsec の保護は MAC レイヤではなくネットワークレベルで機能するため、ファイアウォールなどのネットワークデバイスに対しては完全には透過的ではありません。 IPsec の実装環境によっては、ネットワークアドレス変換 (NAT) デバイスを介して機能しない場合があります。 - IPsec は、2 者の間で互いに認証しあいキーを交換する仕組みであるため、エンドツーエンドの IPsec ではブロードキャストトラフィックやマルチキャストトラフィックは保護されません。 - IPsec パケット内のデータは保護されますが、WLAN 自体は保護されません。侵入者は WLAN への接続に成功すると、WLAN に接続されているデバイスを探ったり攻撃することができます。また、IPsec によって保護されていないトラフィックを傍受することもできます。 - IPsec ネットワークトラフィックの暗号化および暗号化解除の処理を行うと、コンピュータの CPU にかかる負荷が大きくなります。これによって、既に負荷の大きいサーバーにさらに大きな負荷がかかる恐れがあります。このような処理のオーバーヘッドは特殊なネットワークカードを使用すると軽減できますが、ほとんどのサーバーでは、このようなカードは通常装備されていません。 VPN と同様、IPsec はさまざまなセキュリティ保護の状況に適した優れたソリューションですが、WLAN のセキュリティやネイティブの WLAN の保護には対処できません。 [](#mainsection)[ページのトップへ](#mainsection) ### 最適な WLAN オプションを選択する前のセクションの説明からわかるように、802.1X WLAN ソリューションが、考えられる代替方法の中では最も優れた方法です。ただし、「WLAN のセキュリティについて理解する」の項で説明したように、802.1X ソリューションの導入を決定したら、このソリューションを活用できるようにいくつかの項目をどうするかを選択する必要があります。特に重要な選択項目は次の 2 つです。 - ユーザーおよびコンピュータの認証に、パスワードと証明書のどちらを使用するか。 - WLAN のデータ保護に、動的 WEP と WPA のどちらを使用するか。この 2 つの選択項目に関連性はありません。この章で既に説明したように、マイクロソフトでは 2 種類の WLAN セキュリティソリューションガイドを用意しています。1 つはパスワード認証を使用するもの、もう 1 つは証明書認証を使用するものです。どちらのソリューションも、動的 WEP または WPA のいずれかで動作します。 #### 最適な WLAN セキュリティソリューションを決定する下記のフローチャートは、2 つある WLAN セキュリティソリューションガイドのどちらを利用するか決める場合に参照できる選択項目をまとめたものです。 ![](images/Cc527045.02fig2-2(ja-jp,TechNet.10).gif) **図 2.2: WLAN セキュリティソリューションの判断ツリー** この判断ツリーを利用することで出てくる結果は、組織の規模や具体的なセキュリティ要件によって変わります。ほとんどの組織で、どちらのソリューションも変更せずにそのまま導入することが可能です。たとえば、小規模または中規模の組織はほとんどの場合、「*PEAP およびパスワードでワイヤレス LAN のセキュリティを保護する*」ソリューションガイドに記載されている、より単純なパスワードベースの認証ソリューションを選択します。大規模な組織は、デジタル証明書ベースの「*証明書サービスを使用してワイヤレス LAN のセキュリティを保護する*」ソリューションガイドを採用する傾向にあります。どちらのソリューションもこういった組織を対象に作成されていますが、どちらもその対象はかなり幅広いものになっています。「*PEAP およびパスワードでワイヤレス LAN のセキュリティを保護する*」は、ユーザー数が数十人から数千人の規模の組織に導入できます。「*証明書サービスを使用してワイヤレス LAN のセキュリティを保護する*」は、ユーザー数が数百人から数万人の規模の組織に適用できます (ユーザー数が五百人未満の組織の場合、通常は証明機関を展開して管理できる十分な IT スタッフがいません)。どちらのソリューションガイドでも直接言及されていませんが、一般的なケースの 1 つとして、大規模な組織がパスワードベースの WLAN ソリューションを導入する場合があります。「*PEAP およびパスワードでワイヤレス LAN のセキュリティを保護する*」ソリューションに記載されている技術的な内容は、組織の規模の大小を問わず同様に適用できますが、大規模な組織で必要となる設計、計画、運用に関する詳細の多くは、ガイドを簡潔なものにするために省略されています。しかし、両方のソリューションで使用されているアーキテクチャおよび技術的要素はほぼ同じであるため、2 つのソリューションの各部分は、比較的容易に組み合わせることができます。「*PEAP およびパスワードでワイヤレス LAN のセキュリティを保護する*」ソリューションには付録として、パスワードベースの WLAN ソリューションの導入を考えている大規模な組織に関係があるのは各ソリューションのどの部分に当たるかについてのガイダンスが提供されています。 #### 動的 WEP と WPA のいずれかを選択する WEP によるデータ保護に、802.1X および EAP が提供する強力な認証と動的なキー更新を組み合わせると、ほとんどの組織にとって十分満足できるレベルのセキュリティを実現できます。ただし、WPA 標準ではさらに改善が行われており、より高度なセキュリティを実現できます。 WPA と動的 WEP の違いは、どちらのソリューションでもごくわずかなものです。また、動的 WEP 環境は簡単に WPA 環境に移行できます。動的 WEP から WPA に移行する場合の主な変更点は次のとおりです。 - ハードウェアで現在 WPAit がサポートされていない場合は、ネットワークハードウェア (ワイヤレス AP とワイヤレスネットワークアダプタ) 用の最新のファームウェアを入手して展開します。ワイヤレスネットワークアダプタのファームウェア更新プログラムは、一般的にはネットワークドライバの更新プログラムに組み込まれています。 - ワイヤレス AP で WPA を有効にします。 - WEP セキュリティの代わりに WPA がネゴシエートされるように、WLAN クライアントの構成を変更します。 - WEP キーの更新を行うインターネット認証サービス (IAS) リモートアクセスポリシーのセッションタイムアウト値を大きくして、IAS サーバーの負荷を軽減することをお勧めします。 **注 :** IAS とはマイクロソフトの RADIUS サーバー実装です。これは Windows Server 2003 に組み込まれていますが、既定ではインストールされません。可能であれば、まず WPA を選択することをお勧めします。ただし、次のような問題がある場合は、WPA を使用することは困難になります。 - ネットワークハードウェアで WPA がサポートされないことがあります (新しいデバイスでは通常サポートされていますが、WPA 以前のハードウェアが基盤として設置されている可能性もあります)。 - GPO による設定の制御は、Windows Server 2003 の次回更新からサポートされるようになり、他のバージョンではサポートされていません。したがって、Windows XP クライアントでは WPA の設定を手動で行う必要があります。 - WPA は、すべてのクライアントでサポートされるとは限りません。たとえば、Windows 2000 以前のバージョンおよび Pocket PC では現在、WPA のサポートは組み込まれていません。現在はまだ WPA を導入できる状況にはないと判断した場合は、動的 WEP ソリューションを導入し、環境が整ったときに WPA に移行するという選択もあります。 [](#mainsection)[ページのトップへ](#mainsection) ### 要約この章では、組織に適したワイヤレス LAN のセキュリティ保護方法を判断する場合に役立つ情報を紹介しています。章の序盤では、ワイヤレスネットワークのビジネス上の利点について、また適切に保護されていない WLAN が直面するセキュリティ上の脅威の種類について説明しました。章の中盤では、802.1X プロトコル、EAP、および強固なデータ保護に基づいたワイヤレス LAN セキュリティが、このような脅威にどのように対処するかを検証しました。また、VPN、IPsec、静的 WEP などセキュリティの代替方法の長所と短所についても検討しました。最後に、組織に最適な WLAN のセキュリティオプションを決定し、マイクロソフトの 2 つの WLAN セキュリティソリューションのどちらが組織により適しているかを判断するために参照できるガイダンスを示しました。 [](#mainsection)[ページのトップへ](#mainsection) ### 参照情報ここでは、この章に関連する重要な補足情報やその他の参考資料を紹介します。 - マイクロソフトのソリューション「[*PEAP およびパスワードでワイヤレス LAN のセキュリティを保護する*](https://www.microsoft.com/japan/technet/security/topics/cryptographyetc/peap_0.mspx)」は、https://www.microsoft.com/japan/technet/security/topics/cryptographyetc/peap\_0.mspx より入手できます。 - IEEE 802.11 および関連するテクノロジの技術的な詳細については、「Windows Server 2003 Technical Reference」の「[802.11 Wireless Technical Reference](https://technet2.microsoft.com/windowsserver/en/library/7cb7e9f7-2090-4c88-8d14-270c749fddb51033.mspx)」https://technet2.microsoft.com/windowsserver/en/library/7cb7e9f7-2090-4c88-8d14-270c749fddb51033.mspx (英語) を参照してください。 - 802.11 の詳細については、IEEE 802 Web サイトの「IEEE 802.11 Standards News Bulletin」にある [IEEE 802.11](https://www.ieee802.org/11/) のページ www.ieee802.org/11/ (英語) を参照してください。 - 802.1X の詳細については、IEEE 802 Web サイトの「[802.1x - Port Based Network Access Control](https://www.ieee802.org/1/pages/802.1x-rev.html) 」ページ www.ieee802.org/1/pages/802.1x.html (英語) を参照してください。 - EAP 標準の詳細については、[RFC 2284](https://www.ietf.org/rfc/rfc2284.txt?number=2284) に関する Web サイト https://www.ietf.org/rfc/rfc2284.txt?number=2284 (英語) を参照してください。 - Wi–Fi Alliance WPA 標準の詳細については、「[Wi–Fi Alliance Overview](https://www.wi-fialliance.org/about_overview.php)」https://www.wi-fialliance.org/about\_overview.php (英語) を参照してください｡ - ワイヤレスネットワークの詳細については、Microsoft Windows Server System Web サイトの「[Wi-Fi](https://www.microsoft.com/japan/windowsserver2003/technologies/wifi/default.mspx)」ページ https://www.microsoft.com/japan/windowsserver2003/technologies/wifi/default.mspx を参照してください。 - PEAP の詳細と LEAP (および EAP–TLS と EAP–MD5) との比較については、「[The Advantages of Protected Extensible Authentication Protocol (PEAP): A Standard Approach to User Authentication for IEEE 802.11 Wireless Network](https://www.microsoft.com/windowsserver2003/techinfo/overview/peap.mspx)」https://www.microsoft.com/windowsserver2003/techinfo/overview/peap.mspx (英語) を参照してください。 - META Group の文書「[How Do I Limit My Exposure Against the Wireless LAN Security Threat? The New Realities of Protecting Corporate Information](https://www.metagroup.com/cgi-bin/inetcgi/jsp/displayarticle.do?oid=35725)」は、https://www.metagroup.com/cgi-bin/inetcgi/jsp/displayArticle.do?oid=35725 (英語) より入手できます。 [](#mainsection)[ページのトップへ](#mainsection) ##### 目次 - [概要](https://technet.microsoft.com/ja-jp/library/30f90d1c-7faa-432f-b6c8-d4927fe36229(v=TechNet.10)) - [ソリューションの概要](https://technet.microsoft.com/ja-jp/library/30b42da7-6df7-4c17-8f81-e3129a989221(v=TechNet.10)) - [第 1 章 : ソリューションの概要](https://technet.microsoft.com/ja-jp/library/178db46c-9580-45ec-8ca8-565f7eec6521(v=TechNet.10)) - [設計ガイドの概要](https://technet.microsoft.com/ja-jp/library/e6114a19-d2e2-4f4f-9354-9a973b9e3221(v=TechNet.10)) - 第 2 章 : セキュリティで保護されたワイヤレス LAN ネットワークの構築方針を決定する - [第 3 章 : セキュリティ保護されたワイヤレス LAN ソリューションアーキテクチャ](https://technet.microsoft.com/ja-jp/library/40ad9fbf-71fc-4ade-af08-905a35ae95e8(v=TechNet.10)) - [第 4 章 : 公開キー基盤を設計する](https://technet.microsoft.com/ja-jp/library/26fc5cef-602a-4340-9552-f48b4d7d674e(v=TechNet.10)) - [第 5 章 : ワイヤレス LAN のセキュリティに対応した RADIUS インフラストラクチャを設計する](https://technet.microsoft.com/ja-jp/library/e3e593bb-1c1d-40ad-97fc-3798b6869f18(v=TechNet.10)) - [第 6 章 : 802.1X を使用してワイヤレス LAN のセキュリティを設計する](https://technet.microsoft.com/ja-jp/library/75fadbd9-af34-4322-96ad-c609aaaa5907(v=TechNet.10)) - [構築ガイドの概要](https://technet.microsoft.com/ja-jp/library/2b673333-12a3-4bac-affe-207d148e68a0(v=TechNet.10)) - [第 7 章 : 公開キー基盤を実装する](https://technet.microsoft.com/ja-jp/library/70a59275-e4e0-4849-af0e-1af643e7b8fe(v=TechNet.10)) - [第 8 章 : RADIUS インフラストラクチャを実装する](https://technet.microsoft.com/ja-jp/library/83bbb839-cc8d-4724-affb-a6ae08237f29(v=TechNet.10)) - [運用ガイドの概要](https://technet.microsoft.com/ja-jp/library/9519ea6d-b101-4981-b836-1168f32c7f1f(v=TechNet.10)) - [第 9 章 : ワイヤレス LAN のセキュリティに対応したインフラストラクチャを実装する](https://technet.microsoft.com/ja-jp/library/cc527040.aspx) - [第 10 章 : 運用ガイドの紹介](https://technet.microsoft.com/ja-jp/library/75d535e0-e9ed-454c-98ec-2ed53ce54d52(v=TechNet.10)) - [第 11 章 : 公開キー基盤を管理する](https://technet.microsoft.com/ja-jp/library/9437df75-a375-40f2-9577-17755eec9545(v=TechNet.10)) - [第 12 章 : RADIUS およびワイヤレス LAN のセキュリティインフラストラクチャを管理する](https://technet.microsoft.com/ja-jp/library/56beab30-3f67-4633-9074-f5f85241b1ab(v=TechNet.10)) - [テストガイドの概要](https://technet.microsoft.com/ja-jp/library/7e4b9c88-3b35-41f8-b81d-9546743da068(v=TechNet.10)) - [第 13 章 : テストガイド](https://technet.microsoft.com/ja-jp/library/4d249b34-b07e-46af-b8c7-e2ab85f0c26e(v=TechNet.10)) - [付録](https://technet.microsoft.com/ja-jp/library/c60be0d8-d416-41bd-b173-23bdcf56bcf0(v=TechNet.10)) - [付録 A: Windows のバージョンサポート表](https://technet.microsoft.com/ja-jp/library/d55ba82b-f689-4e8a-bddd-37ab55d9f4f1(v=TechNet.10)) - [付録 B: スクリプトとサポートファイル](https://technet.microsoft.com/ja-jp/library/ecfc00f9-d0a2-44b0-b92e-73d714462bbe(v=TechNet.10)) - [付録 C: 配信ガイド](https://technet.microsoft.com/ja-jp/library/7fdf9700-34db-4b0f-92d1-f6a6d8dbe5e1(v=TechNet.10)) - [付録 D: WPA のサポート](https://technet.microsoft.com/ja-jp/library/cc527037.aspx) [](#mainsection)[ページのトップへ](#mainsection)