無線 LAN は、企業で利用した場合、利用者に対し多大なメリットをもたらします。たとえば、会議室にノート PC を持ち込んでその場でさまざまな情報にアクセスしたり、オフィス内の静かな場所にケーブルを気にせず自由に移動したりできるようになります。しかしケーブルから開放されて自由なネットワーク利用のメリットを享受すると同時に、ネットワークのセキュリティに深刻な脅威を及ぼすことを忘れてはなりません。ここでは、無線 LAN 利用時の脅威と影響を最小限に抑えるために必要な5 つのポイントについて説明します。
- 不正なホット・スポットを探し出す
ネットワークにとっての最大のリスクは、不正な無線アクセス・ポイントの設置と不正な無線LANの利用によりもたらされます。こうしたアクセス・ポイントは、必ずしも組織のセキュリティ・ポリシーを迂回することを目的としていません。むしろ、アクセス・ポイントが近所の小売店で手軽に購入できてしまうことから、オフィスでのネットワークの使い勝手を良くするために勝手に設置されることが多いのです。不正に設置されたアクセス・ポイントを探知するためのツールとしては、専用の無線 LAN 探知機からお馴染みの「パケット・スニファー」まで、さまざまなものが存在しています。
- エンドポイントのセキュリティを確保してネットワークを保護する
無線 LAN を利用する上で大前提として理解する必要があるのは、無線 LAN は、どんな場合でも完全に信頼できるネットワークとは言えないということです。 無線 LAN 上のエンドポイントは、セキュリティ無しにブロードバンド接続を行なう PC と同程度に攻撃を受けやすい状態にあります。したがってエンドポイントには、最低でもパーソナル・ファイアウォールが必要になります。また、企業ネットワークのセキュリティ・ポリシーを遵守している信頼できるユーザのみが、内部ネットワークにアクセス可能なセグメントへ接続でき、ゲスト・ユーザやセキュリティ対策が充分でないユーザは、インターネットにのみアクセス可能なセグメントへ接続させる、またはネットワーク接続を拒否するようにします。
- ネットワークをセグメント化する
エンドポイントを保護するためには、ファイアウォールを使用して、無線 LAN と有線ネットワークとを隔離することが不可欠です。無線LANのアクセス・ポイントにも基本的なアクセス・コントロールの機能は用意されていますが、現在の環境で求められるレベルのセキュリティは提供されません。ネットワークをセグメント化することにより、一貫したセキュリティ・ポリシーを無線 LAN と境界にまたがって適用することも可能になります。
- 無線 LAN 上で IPSec による暗号化を行うことを検討する
さまざまな脆弱性が発見された WEP(Wired Equivalent Privacy)と一時しのぎ的な WPA(Wireless Protected Access)から、802.11i と WPA2 プロトコルへと移行したことは、信頼が失墜した無線 LAN 業界のイメージを回復させる 1つの要因となりました。しかしながら現状ではまだ、新しい標準規格をサポートしていない古い無線 LAN 製品が数多く使用されています。802.11i がより普及するまでの間は、機密情報にアクセスするユーザに対しては無線 LAN のセキュリティに加え、 IPSec を使用して暗号化を行うようにポリシーを定めることを推奨します。IPSec はすでに充分な実績があり、多くのノート PC にも搭載されています。
- リスクを考慮する
最終的に、無線 LAN のセキュリティは、リスク分析における1つの要素として考慮することが必要となります。危険性のレベルはどの程度か?不正なアクセス・ポイントを探知するための準備はできているか?不正なユーザが無線 LAN 、さらには有線ネットワークに接続した場合、どのような責任が発生するか?こうした分析に基づき、危険性のレベルやネットワークの安全性が損なわれる可能性に応じて、セキュリティ対策を講じることが必要です。