無線LANのセキュリティ

無線LAN接続されているパソコンの 1 台が不正アクセスを受けたり、ウィルスに感染すると、すべてのパソコンに波及してしまう恐れがあります。特にファイル共有したドライブやフォルダーは外部からもアクセスされやすくなるので、ハードディスクをまるごと共有するといったことは絶対にやめましょう。

感染した場合は、LANケーブルを抜くなどの対策が必要です。
無線LANの場合、SSIDやMACアドレスの設定、暗号化方式の設定など、セキュリティ対策が不可欠です。

無線LANにおけるデータの暗号及びセキュリティー方式

無線LAN機器及び無線LANを含むネットワークが持つセキュリティー機能には大きく「データの暗号化」と「アクセス制御」の2種類があり、それぞれ下記のような方式があります。

WEP(Wired Equivalent Privacy)

RC4と呼ばれる暗号化アルゴリズムを元にした共有鍵暗号方式で、IEEE802.11で採用。秘密鍵には40bitまたは128bitのデータを使用。

WPA(Wi-Fi Protected Access)

Wi-Fi Allianceが2002年に制定したセキュリティーシステムで、暗号化と認証の組み合わせ。暗号化プロトコルにはTKIPを使用。エンタープライズ(EAPを利用したID,パスワード認証を使用)、パーソナル(PSK ”Pre Shared Key, 事前共有鍵”による暗号化方式を使用)の2種類があります。

WPA2(Wi-Fi Protected Access2)

Wi-Fi Allianceが2004年に制定したセキュリティーシステム。AES暗号に対応し、WPAより堅牢なセキュリティー方式。WPAと同様にエンタープライズ及びパーソナルの2種類があります。

IEEE802.11i

IEEEが規定する無線LANにおけるセキュリティーに関する規格。WPAは標準化が遅れた802.11iに先行してWi-Fi Allianceが策定した基準であり、その後標準化された802.11iの必須機能をサポートしたWPA2が策定。

TKIP(Temporal Key Integrity Protocol)

パケット毎に暗号鍵を自動生成する暗号化プロトコル

AES(Advanced Encryption Standard)

米商務省標準技術局(NIST)によって2001年に米国政府の標準暗号化技術として認定された方式。2011年現在、最も強固なセキュリティー性を持った暗号化方式です。
暗号化を行なう鍵の長さとして、WEPの40/128bitに対して128/192/256bitとより長い鍵を使用できるようになっていることで、より安全な方式と言えます。但し暗号化のための処理量が増加するため、専用のチップによりハードウェア処理が実装されていることが重要です。

アクセス制御の方法

SSID(Service Set ID)

(ESSID (Extended SSID)と同義)無線LANにおけるアクセスポイントの識別子(32文字)、グループ名

ANY接続拒否機能

SSIDが空白または「any」が設定されているクライアントからの接続要求を拒否する機能

SSID隠蔽機能

ビーコン信号にSSIDを含めない機能

MACアドレスフィルタリング機能

送信元MACアドレスによる、アクセスポイントに対するクライアントのアクセスを制限する機能

IEEE 802.1x認証

アクセスポイントに接続してきたユーザーをRADIUSサーバーで認証し、アクセスの可否を判断します。プロトコルはEAP(Extensible Authentication Protocol) を使用します。IEEE 802.1x の認証方式には、MD5/PEAP/TTLS/TLS など複数あります。OS やクライアント、アクセスポイントによってはサポートしている認証方式が違う場合があるので使用の際には注意が必要です。

認証・検疫システム

ネットワークに設定したセキュリティーポリシーにより、クライアントの隔離/治療を行うシステム

関連する用語 SSID / MAC